L’équipe Windows Server répond à une question récurrente que l’on peut rencontrer chez nos clients qui commencent à déployer Windows 10. Pourquoi les machines essayent d’atteindre Internet alors qu’elles sont gérées avec WSUS ou System Center Configuration Manager ?
Il y a deux raisons à ceux-ci :
- Depuis Windows 10 1511 et 1607, Microsoft a introduit Delivery Optimization. Cette solution permet du P2P. Elle communique directement avec les services de Microsoft pour permettre aux clients de savoir où récupérer le contenu. WSUS supporte Delivery Optimization ce qui n’est pas le cas de Configuration Manager.
- La seconde raison vient du fait que les clients Windows 10 utilisent l’agent Windows Update pour mettre à jour les applications du Windows Store. De ce fait, les machines gérées par WSUS ou SCCM vont dialoguer avec des services en ligne de Microsoft pour garantir la mise à jour de ces applications. Ceci peut générer un trafic important puisque les clients peuvent récupérer des mises à jour d’applications de tailles importantes.
Quelles sont les recommandations ?
- La première recommandation est de configurer Delivery Optimization via une GPO ou MDM pour privilégier les échanges sur le LAN (over LAN) afin qu’ils puissent récupérer sur un autre client le contenu déjà récupéré.
- La seconde recommandation est bien entendu d’autoriser les URLs adéquates sur vos équipements (proxy, etc.) :
- *.download.windowsupdate.com
- *.au.windowsupdate.com
- *.tlu.dl.delivery.mp.microsoft.com
- La troisième recommandation est de ne pas appliquer les paramétrages de gestion Windows Update for Business pour ajourner les mises à jour.
- La dernière recommandation est bien entendu de ne pas désactiver le Windows Store puisque ceci bloque toute mise à jour d’applications. Outre le fait que vos applications ne disposeront pas des dernières fonctionnalités, des risques de sécurité peuvent être présentés par une application non à jour. Note : Si vous ne souhaitez pas laisser l’utilisateur accéder à la partie publique du Store, Microsoft a intégré un paramétrage dans la version 1607 permettant de brider l’accès à la partie Windows Store for Business.
Plus d’informations sur l’article : https://blogs.technet.microsoft.com/windowsserver/2017/01/09/why-wsus-and-sccm-managed-clients-are-reaching-out-to-microsoft-online/