Planifier le réveil des clients dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Configuration Manager prend en charge les paquets de mise en éveil classiques pour mettre en veille les ordinateurs en mode veille lorsque vous souhaitez installer les logiciels requis, tels que les mises à jour logicielles et les applications.
Remarque
Cet article décrit le fonctionnement d’une version antérieure de Wake on LAN. Cette fonctionnalité existe toujours dans Configuration Manager version 1810, qui inclut également une version plus récente de Wake on LAN. Les deux versions de Wake on LAN peuvent, et dans de nombreux cas, être activées simultanément. Pour plus d’informations sur le fonctionnement de la nouvelle version de Wake on LAN à partir de la version 1810 et sur l’activation de l’une ou des deux versions, consultez Guide pratique pour configurer Wake on LAN.
Comment réveiller les clients dans Configuration Manager
Configuration Manager prend en charge les paquets de mise en éveil classiques pour mettre en veille les ordinateurs en mode veille lorsque vous souhaitez installer les logiciels requis, tels que les mises à jour logicielles et les applications.
Vous pouvez compléter la méthode de paquet de mise en éveil traditionnelle à l’aide des paramètres du client du proxy de mise en éveil. Le proxy de mise en éveil utilise un protocole d’égal à égal et des ordinateurs sélectionnés pour vérifier si les autres ordinateurs du sous-réseau sont en éveil et pour les réveiller si nécessaire. Lorsque le site est configuré pour Wake On LAN et que les clients sont configurés pour le proxy de mise en éveil, le processus fonctionne comme suit :
Les ordinateurs sur lesquels le client Configuration Manager est installé et qui ne sont pas en veille sur le sous-réseau vérifient si les autres ordinateurs du sous-réseau sont en veille. Ils effectuent cette vérification en s’envoyant une commande ping TCP/IP toutes les cinq secondes.
S’il n’y a pas de réponse d’autres ordinateurs, ils sont supposés être en veille. Les ordinateurs qui sont éveillés deviennent l’ordinateur responsable du sous-réseau.
Étant donné qu’il est possible qu’un ordinateur ne réponde pas pour une raison autre qu’il est en veille (par exemple, il est désactivé, supprimé du réseau ou le paramètre client de mise en éveil du proxy n’est plus appliqué), les ordinateurs reçoivent un paquet de mise en éveil tous les jours à 14 heures (heure locale). Les ordinateurs qui ne répondent pas ne seront plus supposés être en veille et ne seront pas réveillés par le proxy de mise en éveil.
Pour prendre en charge le proxy de mise en éveil, au moins trois ordinateurs doivent être en veille pour chaque sous-réseau. Pour ce faire, trois ordinateurs sont choisis de manière non déterministe comme ordinateurs gardiens pour le sous-réseau. Cet état signifie qu’ils restent éveillés, malgré toute stratégie d’alimentation configurée pour la mise en veille ou la mise en veille prolongée après une période d’inactivité. Les ordinateurs gardiens respectent les commandes d’arrêt ou de redémarrage, par exemple, à la suite de tâches de maintenance. Si cette action se produit, les ordinateurs gardiens restants réveillent un autre ordinateur sur le sous-réseau afin que le sous-réseau continue d’avoir trois ordinateurs gardiens.
Les ordinateurs responsables demandent au commutateur réseau de rediriger le trafic réseau pour les ordinateurs en veille vers eux-mêmes.
La redirection est effectuée par l’ordinateur responsable qui diffuse une trame Ethernet qui utilise l’adresse MAC de l’ordinateur en veille comme adresse source. Ce comportement fait que le commutateur réseau se comporte comme si l’ordinateur en veille était déplacé vers le même port que celui de l’ordinateur gestionnaire. L’ordinateur gestionnaire envoie également des paquets ARP pour les ordinateurs en veille afin de garder l’entrée à jour dans le cache ARP. L’ordinateur responsable répond également aux demandes ARP au nom de l’ordinateur en veille et répond avec l’adresse MAC de l’ordinateur en veille.
Avertissement
Pendant ce processus, le mappage d’adresse IP à MAC pour l’ordinateur en veille reste le même. Le proxy de mise en éveil fonctionne en informant le commutateur réseau qu’une autre carte réseau utilise le port qui a été inscrit par une autre carte réseau. Toutefois, ce comportement est connu sous le nom de volet MAC et est inhabituel pour le fonctionnement réseau standard. Certains outils de surveillance réseau recherchent ce comportement et peuvent supposer qu’un problème est survenu. Par conséquent, ces outils de surveillance peuvent générer des alertes ou arrêter des ports lorsque vous utilisez le proxy de mise en éveil.
N’utilisez pas de proxy de mise en éveil si vos outils et services de surveillance réseau n’autorisent pas les volets MAC.
Lorsqu’un ordinateur de gestionnaire voit une nouvelle demande de connexion TCP pour un ordinateur en veille et que la demande concerne un port que l’ordinateur en veille écoutait avant qu’il ne soit mis en veille, l’ordinateur responsable envoie un paquet de mise en éveil à l’ordinateur en veille, puis arrête de rediriger le trafic pour cet ordinateur.
L’ordinateur en veille reçoit le paquet de mise en éveil et se réveille. L’ordinateur expéditeur tente automatiquement de rétablir la connexion et, cette fois, l’ordinateur est en veille et peut répondre.
Le proxy de mise en éveil présente les conditions préalables et limitations suivantes :
Importante
Si vous avez une équipe distincte responsable de l’infrastructure réseau et des services réseau, informez et incluez cette équipe pendant votre période d’évaluation et de test. Par exemple, sur un réseau qui utilise le contrôle d’accès réseau 802.1X, le proxy de mise en éveil ne fonctionne pas et peut perturber le service réseau. En outre, le proxy de mise en éveil peut entraîner la génération d’alertes par certains outils de surveillance réseau lorsque les outils détectent le trafic vers d’autres ordinateurs.
Tous les systèmes d’exploitation Windows répertoriés comme clients pris en charge dans Systèmes d’exploitation pris en charge pour les clients et les appareils sont pris en charge pour Wake On LAN.
Les systèmes d’exploitation invités qui s’exécutent sur une machine virtuelle ne sont pas pris en charge.
Les clients doivent être activés pour le proxy de mise en éveil à l’aide des paramètres du client. Bien que l’opération de proxy de mise en éveil ne dépende pas de l’inventaire matériel, les clients ne signalent pas l’installation du service de proxy de mise en éveil, sauf s’ils sont activés pour l’inventaire matériel et soumis au moins un inventaire matériel.
Les cartes réseau (et éventuellement le BIOS) doivent être activées et configurées pour les paquets de mise en éveil. Si la carte réseau n’est pas configurée pour les paquets de mise en éveil ou si ce paramètre est désactivé, Configuration Manager la configure et l’active automatiquement pour un ordinateur lorsqu’il reçoit le paramètre client pour activer le proxy de mise en éveil.
Si un ordinateur dispose de plusieurs cartes réseau, vous ne pouvez pas configurer la carte à utiliser pour le proxy de mise en éveil . le choix n’est pas déterministe. Toutefois, l’adaptateur choisi est enregistré dans le fichier SleepAgent_<DOMAIN>@SYSTEM_0.log.
Le réseau doit autoriser les demandes d’écho ICMP (au moins au sein du sous-réseau). Vous ne pouvez pas configurer l’intervalle de cinq secondes utilisé pour envoyer les commandes ping ICMP.
La communication est non chiffrée et non authentifiée, et IPsec n’est pas pris en charge.
Les configurations réseau suivantes ne sont pas prises en charge :
802.1X avec authentification de port
Réseaux sans fil
Commutateurs réseau qui lient des adresses MAC à des ports spécifiques
Réseaux IPv6 uniquement
Durées de bail DHCP inférieures à 24 heures
Si vous souhaitez mettre en éveil des ordinateurs pour l’installation de logiciels planifiée, vous devez configurer chaque site principal pour utiliser des paquets de mise en éveil.
Pour utiliser le proxy de mise en éveil, vous devez déployer les paramètres du client du proxy de mise en éveil de gestion de l’alimentation en plus de la configuration du site principal.
Décidez s’il faut utiliser des paquets de diffusion dirigés par un sous-réseau ou des paquets unicast, et quel numéro de port UDP utiliser. Par défaut, les paquets de mise en éveil traditionnels sont transmis à l’aide du port UDP 9, mais pour renforcer la sécurité, vous pouvez sélectionner un autre port pour le site si cet autre port est pris en charge par les routeurs et pare-feu intervenant.
Choisir entre la monodiffusion et la diffusion Subnet-Directed pour wake-on-LAN
Si vous avez choisi de réveiller les ordinateurs en envoyant des paquets de mise en éveil traditionnels, vous devez décider s’il faut transmettre des paquets unicast ou des paquets de diffusion en sous-réseau direct. Si vous utilisez le proxy de mise en éveil, vous devez utiliser des paquets unicast. Sinon, utilisez le tableau suivant pour vous aider à déterminer la méthode de transmission à choisir.
| Méthode de transmission | Avantage | Inconvénient |
|---|---|---|
| Unicast | Solution plus sécurisée que les diffusions dirigées par un sous-réseau, car le paquet est envoyé directement à un ordinateur plutôt qu’à tous les ordinateurs d’un sous-réseau. Peut ne pas nécessiter de reconfiguration des routeurs (vous devrez peut-être configurer le cache ARP). Consomme moins de bande passante réseau que les transmissions de diffusion dirigées par le sous-réseau. Pris en charge avec IPv4 et IPv6. |
Les paquets de mise en éveil ne trouvent pas les ordinateurs de destination qui ont modifié leur adresse de sous-réseau après la dernière planification de l’inventaire matériel. Les commutateurs doivent peut-être être configurés pour transférer des paquets UDP. Certaines cartes réseau peuvent ne pas répondre aux paquets de mise en éveil dans tous les états de veille lorsqu’elles utilisent la monodiffusion comme méthode de transmission. |
| diffusion Subnet-Directed | Taux de réussite plus élevé que la monodiffusion si vous avez des ordinateurs qui changent fréquemment leur adresse IP dans le même sous-réseau. Aucune reconfiguration de commutateur n’est requise. Taux de compatibilité élevé avec les adaptateurs informatiques pour tous les états de veille, car les diffusions dirigées par le sous-réseau étaient la méthode de transmission d’origine pour l’envoi de paquets de mise en éveil. |
Solution moins sécurisée que l’utilisation de la monodiffusion, car un attaquant peut envoyer des flux continus de demandes d’écho ICMP d’une adresse source falsifiée à l’adresse de diffusion dirigée. Cela amène tous les hôtes à répondre à cette adresse source. Si les routeurs sont configurés pour autoriser les diffusions dirigées vers le sous-réseau, la configuration supplémentaire est recommandée pour des raisons de sécurité : - Configurez les routeurs pour autoriser uniquement les diffusions dirigées par IP à partir du serveur de site Configuration Manager, à l’aide d’un numéro de port UDP spécifié. - Configurez Configuration Manager pour utiliser le numéro de port autre que celui par défaut spécifié. Peut nécessiter une reconfiguration de tous les routeurs intermédiaires pour activer les diffusions dirigées par un sous-réseau. Consomme plus de bande passante réseau que les transmissions en monodiffusion. Pris en charge avec IPv4 uniquement ; IPv6 n’est pas pris en charge. |
Avertissement
Il existe des risques de sécurité associés aux diffusions dirigées par le sous-réseau : un attaquant peut envoyer des flux continus de demandes d’écho ICMP (Internet Control Message Protocol) à partir d’une adresse source falsifiée à l’adresse de diffusion dirigée, ce qui amène tous les hôtes à répondre à cette adresse source. Ce type d’attaque par déni de service est communément appelé attaque de schtroumpf et est généralement atténué en n’activant pas les diffusions dirigées par le sous-réseau.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour