none
SCCM 2012 R2 - Update scaricati dal Primary Site e non dai Distribution Point RRS feed

  • Domanda

  • Ciao,

    accade una cosa strana, e questo mi sa da un po di tempo creando un po di problemi all'interno dell'infrastruttura.L'infrastrutura è configurata come segue :

    Ho un Primary Site con i seguenti Ruoli configurati

    Server01 :
    Software update point Asset Intelligence
    synchronization point
    Component server
    Distribution point
    Endpoint Protection point
    Management point
    Site server
    Site system
    Manager site.

    Ed ho 13 Distribution Point su rete geografica, con questi Ruoli :

    Distribution point
    Site system

    Il DB Server invece ha i seguenti :

    Site system
    Component server
    Reporting services
    Site database server

    Ora, le Boudaries sono tutte configurate correttamente, altrimenti i Clients non prenderebbero proprio gli Update, i Deloy sono configurati come segue :

    Ho fatto così per cercare di limitare al minimo la possibilità che un PC prenda update altrove creando traffico non necessario.

    Al momento vi lascio queste informazioni base per non spammare oltremisura nel primo Topic. ci fosse consigli su cosa controllare o se volete avere altre configurazioni in merito sono a completa disposizione.Grazie

    Grazie

    Umberto

    P.S. Mi sono accorto del traffico utilizzando un software di terze parti ( Netlimiter ) che mi visualizza traffico consistente sia in ingresso che in uscita dal CCM sulle porte 80/8530/445.




    • Modificato UnclePear lunedì 16 febbraio 2015 11:21
    lunedì 16 febbraio 2015 08:05

Risposte

  • Mi permetto di insistere ci sarà sempre traffico verso il site principale nella tua attuale configurazione e cmq in generale, 7GB per 1300 client sono 5 MB a client circa, assolutamente compatibili con il cab contenente il catalogo delle fix (non le fix). Se scaricassero le fix avresti ben di peggio, non penso te la caveresti con 5 MB a client.

    - Daniele
    Microsoft MVP System Center Cloud and Datacenter Management

    Unisciti alla community italiana per System Center http://www.ugisystemcenter.org

    http://nocentdocent.wordpress.com
    This posting is provided “AS IS” with no warranties, and confers no rights.
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    • Contrassegnato come risposta UnclePear mercoledì 25 febbraio 2015 10:42
    venerdì 20 febbraio 2015 12:21
    Moderatore
  • Ciao,

    il problema dovrebbe essere rientrato.

    Chiudo gli argomenti aperti il questo thread.

    Per quanto riguarda i SUP installati su macchine 2003 confermo che funzionano regolarmente.

    Basta installare WSUS manualmente e patcharlo con le seguenti hotfix

    WSUS-KB2720211 x32 o x64

    WSUS-KB2734608 x32 o x64

    Dopo di che basta aggiungere il ruolo sul'SCCM che automaticamente configura come Replica i vari WSUS installati.

    Il dettaglio sui Report ed il traffico in dettaglio, sulle varie macchine dove è stato installato il SUP è diminuito sensibilmente.

    Il problema principale di traffico era dovuto ad una policy, nascosta dentro alla default Policy ( no comment ) che resettava il SID WSUS e cancellava il DB; ergo, resettando il Dbase locale, questo, ogni mattina, su ogni client, doveva ripopolarsi facendo del traffico, verso l'SCCM e vice versa ed intasando la banda disponibile.

    Tolta la policy, il traffico è rientrato negli standard senza particolari picchi, in ogni caso WSUS verrà installato su tutti i DP per avere dei SUP locali, ed eliminare il più possibile traffico indesiderato nell'infrastruttura.

    Grazie come sempre per il supporto

    lunedì 2 marzo 2015 10:37

Tutte le risposte

  • Ciao Umberto, manca qualcosa al thread (forse una screen?).

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 16 febbraio 2015 08:09
    Moderatore
  • Ora li ha caricati correttamente
    lunedì 16 febbraio 2015 09:25
  • Se può essere d'aiuto, ma probabilmente potrebbe confondere ulteriormente, quando forzo l'installazione dell'antivirus su un nuovo Client, questo lo installa direttamente dal Distribution Point di filiale, poi non so per quale motivo, gli update dell'antivirus / aggiornamenti non vengono presi da li.

    Ho cercato in tutti i modi di forzare i Clients a prendere direttamente dal DP ma non ci sono ancora riuscito.

    Qualche idea ?

    Potrebbe essere dipeso da una configurazione errata della Site And Services ?? le stò pensando tutte .....


    • Modificato UnclePear martedì 17 febbraio 2015 08:44
    martedì 17 febbraio 2015 08:38
  • vedi qui

    Network Connection Speed to the Content Source Location

    You can configure the network connection speed of each distribution point in an assigned boundary group. Clients use this value when they connect to the distribution point. By default, the network connection speed is configured as Fast, but it can also be configured as Slow. When the client uses a distribution point that is not preferred, the connection to the distribution point is automatically considered as slow. The network connection speed helps determine whether a client can download content from a distribution point. You can configure the deployment behavior for each network connection speed in the deployment properties for the specific software that you deploy. You can choose to never install software when the network connection is considered slow download and install the software, and so on.

    ref: https://technet.microsoft.com/en-us/library/gg712321.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 17 febbraio 2015 11:49
    Moderatore
  • Ciao e grazie per il supporto.

    Si avevo già visto e configurato tutto in FAST in quanto il traffico attraverso le MPLS avviene di notte e per quanto riguarda i Deployments non avevo fatto distinzioni.

    Il problema, a quanto pare è che una PC di una sede remota, comunque fa traffico, sia in ingresso che in uscita dal Site principale pur avendo un DIstribution point locale.

    Ora guardando nei LOG di IIS sembra che questo avvenga, ovvero che i PC prendano gli update dal DP locale ) ma in realtà la 2 Mbit si satura creando non poco disservizio.

    Ho fatto anche una policy cercando di limitare i danni, in Administration/clients bloccandola massimo ad 1000 Kb per quanto riguarda i sistemi operativi Cients, ma pare non sortire alcun effetto.

    Se faccio dei report con il Fortigate vedo Gb e GB di traffico WSUS e vedo macchine in sedi con DP che contattano direttamente la sede principale scambiando 30/40 Mb nelle ore dove il traffico è più elevato.


    • Modificato UnclePear martedì 17 febbraio 2015 13:07
    martedì 17 febbraio 2015 12:07
  • Il problema, a quanto pare è che una PC di una sede remota, comunque fa traffico, sia in ingresso che in uscita dal Site principale pur avendo un DIstribution point locale.

    un pc? nel senso che il problema è limitato ad un solo pc ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 17 febbraio 2015 15:47
    Moderatore
  • Ovviamente NO, era in senso lato ed in maniera completamente descrittiva..... questo capita a tutti i PC di tutte le sedi remote dove c'è un DP.

    Riassumendo, pur sembrando che i Computers prendano gli update direttamente dai DP ( perché in IIS del DP locale vedo i PC prendere gli update ) di fatto il traffico generato, verso il Site principale, satura completamente la banda di tutte le MPLS.

    Non capisco cosa sia, in quanto se sgancio l'SCCM il traffico svanisce e le Filiali ritornano Online correttamente.

    In che file di LOG Client/Server posso vedere a quale tipo di traffico esattamente mi stò riferendo ?

    Il Fortigate mi da porte 8530 ed 80 ..... ovviamente sorgente l'SCCM e si parla di traffico dai 4 ai 5 GB in due ore circa.

    A disposizione per chiarimenti

    Umberto

    mercoledì 18 febbraio 2015 06:50
  • mi viene da pensare che il traffico che noti sia quello di sincronizzazione dei software distribution point rispetto al primary site e non quello dei singoli clients di ciascun site.

    prova a leggere bene qui

    https://technet.microsoft.com/en-us/library/gg682168.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 19 febbraio 2015 14:16
    Moderatore
  • Ciao Umbero,

    di quanti client stiamo parlando? Attenzione che avrai sempre del traffico verso il MP e verso il SUP, ad esempio la sincornizzazione del catalogo SUP iniziale può generare picchi di traffico. Così come il traffico di inventario può essere considerevole, ad esempio se fai file collection. Per non parlare dei proicessi di aggiornamento dei DP o dei consistency check dei DP.

    QUindi l'evidenza di traffico senza una qualificazione del traffico è di poco aiuto.

    Il traffico SCCM è facile da individurare perchè tracciato nei log IIS, se vedi che i client si rivolgono al local DP significa che la configurazione è corretta. Se si rivolgono anche al remote DP (verificare nei log IIS) significa che ci sono dei package configurati per l'accesso remoto che non sono presenti sul local DP.

    Dai log IIS locali e remoti avrai sicuramente maggiori informazioni su quali servizi sono coinvolti nel traffico.


    - Daniele
    Microsoft MVP System Center Cloud and Datacenter Management

    Unisciti alla community italiana per System Center http://www.ugisystemcenter.org

    http://nocentdocent.wordpress.com
    This posting is provided “AS IS” with no warranties, and confers no rights.
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    venerdì 20 febbraio 2015 11:28
    Moderatore
  • Grazie Edoardo e Daniele per il supporto.

    Lunedì farò una nuova analisi tramite i LOG di IIS e risponderò alle vostre domande.

    Ho già iniziato a leggere il link segnalato da Edoardo, dove onestamente, non ho ancora trovato incongruenze con la configurazione attuale.

    Posso solo sbilanciarmi nel dire, ora come ora, ma ne voglio la certezza e questa l'avrò Lunedì, massimo Martedì, che i Clients ( circa 1300 ) su rete geografica, comunicano sia con il DP che con il Site Principale richiedendo presumibilmente gli stessi aggiornamenti.

    Sintetizzando .... il traffico riguardante "SOLO" l'antivirus, stando al report di FORTIGATE "dice" che traffico WSUS è di circa 7 GB in 3 ore.

    7GB ???? impossibile ..... girerà o scambierà dati dei quali io non ne so nulla o non se ne capisce il contenuto ...

    Guardando i LOG di IIS vedo i client che attingono dal DP e dal Site principale, non tutti e non sempre ...

    Lunedì guarderò più attentamente e vedrò di postare una casistica concreta.

    Grazie come sempre per il supporto ..... alla peggio se non ne usciamo, aprirò un Incident direttamente da voi.

    venerdì 20 febbraio 2015 11:41
  • Mi permetto di insistere ci sarà sempre traffico verso il site principale nella tua attuale configurazione e cmq in generale, 7GB per 1300 client sono 5 MB a client circa, assolutamente compatibili con il cab contenente il catalogo delle fix (non le fix). Se scaricassero le fix avresti ben di peggio, non penso te la caveresti con 5 MB a client.

    - Daniele
    Microsoft MVP System Center Cloud and Datacenter Management

    Unisciti alla community italiana per System Center http://www.ugisystemcenter.org

    http://nocentdocent.wordpress.com
    This posting is provided “AS IS” with no warranties, and confers no rights.
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    • Contrassegnato come risposta UnclePear mercoledì 25 febbraio 2015 10:42
    venerdì 20 febbraio 2015 12:21
    Moderatore
  • Ciao Umberto,
    Ad oggi il tuo quesito nel Forum di System Center è ancora aperto per noi.
    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.
    Grazie.

    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    • Contrassegnato come risposta UnclePear mercoledì 25 febbraio 2015 10:42
    • Contrassegno come risposta annullato UnclePear mercoledì 25 febbraio 2015 10:42
    martedì 24 febbraio 2015 09:10
  • Ciao,

    rieccomi,

    mi sono preso un po più tempo, come scritto spra, per cercare di analizzare meglio la situazione.

    I LOG di IIS sono abbastanza ricchi di informazioni ( eccetto l'ora ) e mi son dovuto focalizzare su alcuni clients per cercare di circoscrivere quanto accadeva / accade.

    Di fatto, si vede il client che richiede le policy dal Site principale e scarica gli update dal DP locale, ma sempre di fatto non capisco appieno il traffico sulla 8530, importante aggiungerei, dal Site principale verso il Client.

    Riguarderò la documentazione segnalata da Edoardo, nel frattempo ho alzato i tempi TTL dei client verso l'SCCM ed ho tolto dei Report per verificare se tutti questi GB ( eccessivi dal mio punto di vista e della rete ) diminuiscono drasticamente.

    Se davvero, come dice Daniele, 7 Gb sono una cosa normale, qualcosa probabilmente andrebbe modificato o l'SCCM non è un "applicativo" adeguato alla nostra infrastruttura.

    Grazie come sempre per il supporto

    Umberto

    mercoledì 25 febbraio 2015 08:35
  • Un informazione,

    Potrei eventualmente aggiungere un ruolo ai DP per limitare il traffico dei Report delle macchine, alle sole ore notturne ?

    Se si, quale ruolo potrei aggiungere ? Non so, Reporting Services point ?

    mercoledì 25 febbraio 2015 10:47
  • 8530 dovrebbe essere la porta WSUS e quindi è il catalogo delle update, come immaginavo. SCCM è idoneo va solo configurato diversamente. Magari con un SUP locale.

    - Daniele
    Microsoft MVP System Center Cloud and Datacenter Management

    Unisciti alla community italiana per System Center http://www.ugisystemcenter.org

    http://nocentdocent.wordpress.com
    This posting is provided “AS IS” with no warranties, and confers no rights.
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    mercoledì 25 febbraio 2015 11:19
    Moderatore
  • Quindi aggiungendo un SUP in una filiale, il traffico dei Report diminiurebbe, ma per quanto riguarda gli Update sarebbero comunque in carico al DP ?

    E le configurazioni di WSUS, in questo caso, non dovranno essere toccate, corretto ? gestisce tutto l'SCCM

    Per quanto riguarda DP 2003 , una volta aggiunto il ruolo sul Site principale ( in riferimento al DP di filiale ) , lo installa automaticamente, oppure va installato prima a mano dopo di che, SCCM lo gestisce ? ( un po come per la configurazione di IIS )

    Grazie come sempre per il supporto


    • Modificato UnclePear mercoledì 25 febbraio 2015 12:55
    mercoledì 25 febbraio 2015 11:51
  • A mio avviso non si tratta del traffico dei report, ma del traffico dei cataloghi delle fix (non delle fix stesse) che viene scaricato da WSUS.

    Quindi:

    1) sì le fix vengono comunque scaricate dal DP

    2) i cataloghi sono scaricati dal SUP

    3) le info di inventario/ reporting vengono inviati sempre e comunque al MP, ma la dimensione finito il primo allineamento è solitamente trascurabile. Qualche decina di KB per client.

    4) WSUS viene configurato da SCCM

    DP 2003 non so cosa siano.


    - Daniele
    Microsoft MVP System Center Cloud and Datacenter Management

    Unisciti alla community italiana per System Center http://www.ugisystemcenter.org

    http://nocentdocent.wordpress.com
    This posting is provided “AS IS” with no warranties, and confers no rights.
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    mercoledì 25 febbraio 2015 14:58
    Moderatore
  • Ciao e grazie per il supporto :

    Intendevo con DP 2003, Distribution Point su Server 2003 R2 ..... chiedo scusa, ho zippato troppo il concetto, in questo caso, dovrei scaricarlo, installarlo e poi aggiungere il ruolo dall'SCCM in quanto, aggiungendo il ruolo, sembra non succede nulla sul DP di filiale.

    giovedì 26 febbraio 2015 06:58
  • Se non ricordo male *non* sono supportati. Ma anche se lo fossero, non farlo :-). Crea una VM 2012 R2 minimale e falle fare quel mestiere. 2003 è morto, a luglio esce da ogni tipo di supporto.

    - Daniele
    Microsoft MVP System Center Cloud and Datacenter Management

    Unisciti alla community italiana per System Center http://www.ugisystemcenter.org

    http://nocentdocent.wordpress.com
    This posting is provided “AS IS” with no warranties, and confers no rights.
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    giovedì 26 febbraio 2015 21:09
    Moderatore
  • Ciao,

    il problema dovrebbe essere rientrato.

    Chiudo gli argomenti aperti il questo thread.

    Per quanto riguarda i SUP installati su macchine 2003 confermo che funzionano regolarmente.

    Basta installare WSUS manualmente e patcharlo con le seguenti hotfix

    WSUS-KB2720211 x32 o x64

    WSUS-KB2734608 x32 o x64

    Dopo di che basta aggiungere il ruolo sul'SCCM che automaticamente configura come Replica i vari WSUS installati.

    Il dettaglio sui Report ed il traffico in dettaglio, sulle varie macchine dove è stato installato il SUP è diminuito sensibilmente.

    Il problema principale di traffico era dovuto ad una policy, nascosta dentro alla default Policy ( no comment ) che resettava il SID WSUS e cancellava il DB; ergo, resettando il Dbase locale, questo, ogni mattina, su ogni client, doveva ripopolarsi facendo del traffico, verso l'SCCM e vice versa ed intasando la banda disponibile.

    Tolta la policy, il traffico è rientrato negli standard senza particolari picchi, in ogni caso WSUS verrà installato su tutti i DP per avere dei SUP locali, ed eliminare il più possibile traffico indesiderato nell'infrastruttura.

    Grazie come sempre per il supporto

    lunedì 2 marzo 2015 10:37
  • Ti ringrazio di aver aggiornato il thread con le ultime notizie e sono lieta di sapere che tu abbia risolto.


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 2 marzo 2015 11:53