Contrôler la distribution des mises à jour Windows 10


  • Share on Pinterest

Windows 10 introduit un nouveau fonctionnement de distribution des mises à jour en mode peer to peer (P2P). L’optimisation de la distribution autant ingénieuse soit-elle introduit quelques effets indésirables sur l’utilisation de la bande passante.

Beaucoup s’interrogent sur l’approche et les diverses configurations à mettre en place pour supporter ou désactiver à tort l’optimisation de la distribution. Cet article apporte quelques considérations que vous pouvez suivre dans votre entreprise pour bien contrôler la distribution des mises à jour Windows 10.

Qu’est-ce que l’optimisation de la distribution (Delivery Optimization)

Le service d’optimisation de la distribution de Windows Update permet d’obtenir les mises à jour Windows et les applications du Windows Store à partir d’autres PC sur le réseau ou internet, outre les serveurs Microsoft Update. L’optimisation de la distribution envoie également les mises à jour et les applications de votre PC vers d’autres PC de votre réseau local ou vers des PC sur internet (on appelle ces PC des pairs). En entreprise, les PC d’entreprises sont connectés à un serveur WSUS. Les pairs sont utilisés en plus du serveur WSUS pour la distribution.

[eckosc_status_message title= »Remarque » icon= »fa-check » type= »success » message= »Vos PC communiquent entre eux. Cela réduit considérablement la quantité de bande passante internet nécessaire pour maintenir tous vos PC à jour. Cette solution est aussi idéale pour les branches et sites distants d’entreprise disposant d’une connexion internet limitée ou non fiable. »]

Différence entre les mises à jour

Windows Update fournit trois types de mises à jour :

  • Feature Update (Mises à jour des fonctionnalités) : nouvelle version de Windows 10 publiée 2 à 3 fois par an. Implique un changement de version (version 1607, 1703, etc.). Taille du fichier environ 3.5Go
  • Quality Update (Mises à jour de qualité) : Mises à jour cumulatives (sécurité, critiques et pilotes) et Mises à jour Microsoft (Office). Le fait d’être cumulatif entraine de plus gros fichier au fil du temps. Taille moyenne du fichier à 1Go/mois
  • Non-deferrable updates (Mises à jour ne pouvant être reportées) : Mise à jour de définition comme celle de Windows Defender.

Scénario d’utilisation avec Windows Update, WSUS

Lorsque votre PC Windows 10 (1607) est configuré pour vérifier ses mises à jour auprès du serveur WSUS, voici ce qui se passe avec les paramètres par défaut:

Le PC interroge le serveur WSUS pour déterminer les mises à jour à installer. Pour chaque mise à jour nécessaire, le PC utilise le service d’optimisation de distribution sur internet pour trouver des pairs qui ont déjà le contenu. Si des pairs sont disponibles alors le PC essaye de récupérer le contenu. Si le contenu n’est pas disponible sur un pair ou que les pairs ne sont pas disponibles, le reste est téléchargé depuis le serveur WSUS. Les applications du Windows Store ne proviennent pas du serveur WSUS car cette fonctionnalité n’est pas supportée. Donc les PC iront toujours récupérer les mises à jour des applications du Windows Store sur internet même s’ils sont gérés avec les outils d’entreprise.

[eckosc_status_message title= »Configuration » icon= »fa-wrench » type= »info » message= »Les PC doivent obligatoirement communiquer avec les adresses internet suivantes:
*.download.windowsupdate.com
*.au.windowsupdate.com
*.tlu.dl.delivery.mp.microsoft.com (requis pour le hash et la validation) »]

Aperçu de la taille des mises à jour de qualité

La mise à jour de qualité étant cumulative (remplace celle du mois précédent) grossit donc au fil des publications. Un poste télécharge en moyenne 1Go par mois juste pour Windows. L’optimisation de distribution est la solution idéale pour faire face à ce défi avec les autres technologies Microsoft.

winwdows 10 mise à jour

Conditions techniques de Windows 10 (version 1607)

  • Windows 10 (1607) est configuré par défaut avec l’optimisation de la distribution, mais le mode de téléchargement diffère en fonction des éditions :
    • Les éditions Entreprise, Entreprise LTSB, et Education sont configurées pour le mode LAN (Réseau local)
    • Les autres éditions sont configurées en mode LAN et PC sur internet
  • Le PC doit disposer de 4Gb de RAM, d’un disque de 256 Gb avec 32G d’espace disponible. Les pairs en réception ont aussi des prérequis à respecter autrement ils se téléchargeront les mises à jour à la source soit Windows Update ou WSUS.
  • L’optimisation de la distribution est seulement utilisée pour les Feature Updates, les mises à jour cumulatives et les mises à jour d’applications (si elles font plus de 100 Mb)
  • Windows 10 (1607) n’utilise plus le service BITS par défaut pour télécharger le contenu depuis WSUS.
  • Windows 10 (1607) ajoute 2 modes de téléchargement, Simple (mode 99) et Bypass (mode 100).  Simple est idéal pour un réseau cloisonné où les PC ne pourraient pas utiliser le service d’optimisation de distribution sur internet. Le mode Bypass est utile si vous utilisez déjà BranchCache et souhaitez que les PC téléchargent les mises à jour depuis WSUS en utilisant BITS.
  • Windows 10 (1607) supporte le mode Group (mode 2) qui limite le nombre PC considéré en pairs à un groupe défini. Ce groupe est basé sur les sites et domaines AD (site AD par défaut). Un ID de groupe est également optionnel.

[eckosc_status_message title= »Remarque » icon= »fa-check » type= »success » message= »Vous pouvez arrêter le trafic réseau lié à l’optimisation de la distribution de Windows Update en définissant Mode de téléchargement sur Simple (99) ou Bypass (100) »]

Stratégies utiles pour l’optimisation de la distribution

Vous pouvez trouver les stratégies de l’optimisation de la distribution sous Configuration ordinateur > Modèles d’administration > Composants Windows > Optimisation de la distribution.

Stratégie Description
Mode de téléchargement Permets de choisir où l’Optimisation de la distribution obtient ou envoie des mises à jour et applications, à savoir

None. Désactive l’Optimisation de la distribution.

Group. Échange des mises à jour et applications avec des PC sur le même domaine de réseau local.

Internet. Échange des mises à jour et applications avec des PC sur Internet.

LAN. Échange des mises à jour et applications avec des PC sur le même NAT uniquement.

Simple. Mode de téléchargement simple sans p2p.

Bypass. Utilisez BITS à la place de l’optimisation de la distribution de Windows Update.

ID de groupe Permets de fournir un ID de groupe qui limite les PC pouvant partager des applications et mises à jour.

Réduire l’impact des mises à jour sur le réseau

Distribution P2P

L’utilisation du mode LAN est donc recommandée pour réduire l’utilisation de votre lien réseau. L’effet est immédiat et 90% du trafic peut être redirigé sur les PC. C’est le minimum à mettre en place si vous avez une édition autre que Windows Entreprise.

Autrement, vous configurerez les stratégies en tenant compte de votre environnement, de votre topologie réseau, des emplacements physiques, etc. Il ne s’agit pas là d’une règle commune à tous. L’autre considération est d’utiliser le mode Group au lieu d’utiliser seulement le mode LAN.

Le mode LAN identifie les PC qui sont sur le même réseau local en fonction de l’adresse IP externe. Tous les PC passant par le proxy ou un routeur sont considérés comme étant sur le même réseau. Dans une grande entreprise, vos réseaux locaux peuvent être interconnectés en passant par un WAN ou à travers un VPN, etc. Dans ces environnements vous ne souhaitez pas partager les mises à jour entres les PC des divers sites distants ou autre. Si tel est votre cas, le mode Group de Windows 10 (1607) gère ce scénario correctement. Il faut bien entendu que vos sites AD soient bien configurés pour correspondre aux emplacements physiques (donc pas de sous-réseau Catch all). Si vous ne respectez pas ce critère, le mode Group ID peut être utilisé pour segmenter les PC dans des groupes plus appropriés.

[eckosc_status_message title= »Attention » icon= »fa-exclamation-triangle » type= »warn » message= »Certaines stratégies Windows Update peuvent rentrer en conflit même si les postes sont gérés avec des outils tels que WSUS ou un SUP de Configuration Manager. C’est le cas avec les stratégies Windows Update for Business appliquées dans un mauvais contexte ou par mauvaises compréhensions. Windows Update for Business est un service internet de distribution de mise à jour, dans ce cas les PC communiqueront par internet. »]

Cependant d’autres solutions Microsoft sont complémentaires et lorsque combiné avec le p2p, vous tirez pleinement bénéfice pour tous les scénarios imaginables.

BranchCache

Parmi les points conditions techniques mentionnés, si vous utilisez déjà BranchCache avec WSUS pour la distribution, alors déployez une stratégie pour utiliser le mode Bypass car Windows 10 (1607) n’utilise plus le service BITS par défaut.
Windows 10 Entreprise supporte BranchCache, tandis que Windows 10 Pro utilisera BITS.

  • La configuration recommandée est le mode cache distribué.
  • Ajouter la fonctionnalité BranchCache sur vos serveurs WSUS.

[eckosc_status_message title= »Remarque » icon= »fa-check » type= »success » message= »Utiliser le paramètre client Peer Cache si vous utilisez Configuration Manager pour la distribution des mises à jour. »]

Windows Update Express Packages

Que vous utilisez Windows Update, WSUS, Windows Update for Business, l’agent télécharge uniquement les paquets des fichiers CAB nécessaires pour mettre à jour les composants Windows. Cette option doit être activée dans les propriétés de votre serveur WSUS (express installation files) ou dans les paramètres du SUP et paramètres clients pour ceux qui utilisent Configuration Manager. (Ce modèle en morceau n’est pas compatible à l’heure actuelle avec les 3rd party.)

wsus express installation files

Cette configuration nécessite un espace disque plus conséquent sur votre serveur WSUS. Si vous avez un proxy, vous devez obligatoirement supporter HTTP/1.1 (Byte range transfers over HTTP)

Windows Update Express Packages

Réguler l’utilisation du lien avec BITS

Une solution connue et éprouvée. Vous pouvez utiliser les stratégies et paramètres BITS pour réguler l’utilisation du lien en parrallèle avec BranchCache ou si vous avez désactiver l’optimisation de distribution

Distribution planifiée

Uniquement pour ceux qui utilisent Configuration Manager. Cette option permet de préciser la bande passante à utiliser pour la distribution de contenu vers un point de distribution ou un client (PC)

[eckosc_contrast_block]Windows 10 Creator Update (1703), disponible prochainement, introduit les mises à jour universelles unifiées (Unified Update Platform). Ceci est la prochaine génération des technologies de distribution de contenu pour Microsoft. Microsoft promet une réduction d’environ 35% sur la taille des téléchargements pour les Mises à jour des fonctionnalités. C’est-à-dire pour passer d’une édition Windows à une autre (exemple: 1703 vers 1710)[/eckosc_contrast_block]

Lecture recommandée et références

https://technet.microsoft.com/fr-fr/itpro/windows/manage/waas-delivery-optimization
https://technet.microsoft.com/en-us/itpro/windows/manage/manage-connections-from-windows-operating-system-components-to-microsoft-services#bkmk-updates

  • xu5ja
    Répondre
    Auteur
    xu5ja xu5ja

    Article très interessant, mais aujourd’hui, je suis confronté au problème suivant:

    Nous avons plusieurs agences qui disposent de liens SDSL 2Mb et le siège lui dispose d’un lien 4Mb.
    Un serveur WSUS sous Windows 2012 R2 est installé au siege, je souhaiterais qu’il distribue les mises a jour a mes postes clients Windows 10.
    J’ai peur qu’après avoir approuvé mes mises a jour que mon WSUS sature le lien 4Mb du siege en envoyant les mises a jour sur les autres sites.
    Je trouvais la solution du Branchcache assez séduisante, mais il me faut des licences Enterprise, que je n’ai pas.

    Je regarde du coté de BITS, mais je ne sais pas trop ce qu’il y a a configurer, exemple : https://www.adminpasbete.fr/wsus-limiter-la-bande-passante-de-telechargement/
    La GPO,elle doit s’appliquer sur mes postes clients ou uniquement sur mon serveur ?
    Mon serveur WSUS fait aussi serveur antivirus et je ne souhaite pas que Bits ralentisse aussi Kaspersky.

    • Yannick Plavonil
      Répondre
      Auteur
      Yannick Plavonil Yannick Plavonil

      Utilise les GPO pour controler la distribution des mises à jour sur les postes Windows , et utilise la GPO BITS pour le Downstream WSUS.

  • Richard
    Répondre
    Auteur
    Richard Richard

    Bonjour,

    Je suis dans la même configuration que xu5ja mais j’ai des licences Windows 10 Enterprise.
    Je cherche un moyen d’optimiser la bande passante des mises à jour Microsoft depuis mon WSUS.
    Y a t’il une procédure ou un tuto afin de configurer branchcache sur le WSUS et les pc Windows 10.

    Merci pour votre retour.
    Richard.