Planifier la façon de s’ausoyer des clients dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Configuration Manager prend en charge les paquets de veille traditionnels pour faire s’installer les ordinateurs en mode veille lorsque vous souhaitez installer les logiciels requis, tels que les mises à jour logicielles et les applications.

Notes

Cet article décrit le fonctionnement d’une version antérieure de Wake on LAN. Cette fonctionnalité existe toujours dans Configuration Manager version 1810, qui inclut également une version plus récente de Wake sur LAN. Les deux versions de Wake on LAN peuvent, et dans de nombreux cas, être activées simultanément. Pour plus d’informations sur le fonctionnement de la nouvelle version de Wake on LAN à partir de 1810 et l’activation de l’une ou l’autre des versions, voir How to configure Wake on LAN.

Comment faire pour s’ausoyer des clients dans Configuration Manager

Configuration Manager prend en charge les paquets de veille traditionnels pour faire s’installer les ordinateurs en mode veille lorsque vous souhaitez installer les logiciels requis, tels que les mises à jour logicielles et les applications.

Vous pouvez compléter la méthode traditionnelle de paquet de veille à l’aide des paramètres du client proxy de veille. Le proxy de veille utilise un protocole d’égal à égal et des ordinateurs locaux pour vérifier si d’autres ordinateurs du sous-réseau sont en cours d’apprentissage, et pour les faire s’il y a lieu. Lorsque le site est configuré pour wake on LAN et que les clients sont configurés pour le proxy de veille, le processus fonctionne comme suit :

  1. Les ordinateurs sur qui le client Configuration Manager est installé et qui ne sont pas installés sur le sous-réseau vérifient si d’autres ordinateurs du sous-réseau sont en cours d’installation. Pour ce faire, ils envoient mutuellement une commande ping TCP/IP toutes les cinq secondes.

  2. S’il n’y a aucune réponse d’autres ordinateurs, ils sont supposés être en veille. Les ordinateurs qui sont en cours de devenir des ordinateurs de gestionnaire pour le sous-réseau.

    Dans la mesure où il est possible qu’un ordinateur ne réponde pas pour une raison autre que son veille (par exemple, il est désactivé, supprimé du réseau ou le paramètre client de veille proxy n’est plus appliqué), les ordinateurs sont envoyés un paquet de veille tous les jours à 14 heures. heure locale. Les ordinateurs qui ne répondent pas ne sont plus supposés être en veille et ne sont pas en veille par proxy de veille.

    Pour prendre en charge le proxy de veille, au moins trois ordinateurs doivent être en mesure de s’en aller pour chaque sous-réseau. Pour atteindre cette exigence, trois ordinateurs sont choisis de manière non déterministe comme ordinateurs guardian pour le sous-réseau. Cet état signifie qu’ils restent en veille ou en veille prolongée, malgré toute stratégie d’alimentation configurée après une période d’inactivité. Les ordinateurs Guardian respectent les commandes d’arrêt ou de redémarrage, par exemple, suite à des tâches de maintenance. Si cette action se produit, les autres ordinateurs guardian s’en sont pris à un autre ordinateur sur le sous-réseau afin que le sous-réseau continue à avoir trois ordinateurs guardian.

  3. Les ordinateurs responsables demandent au commutateur réseau de rediriger le trafic réseau des ordinateurs en mode arrêt vers eux-mêmes.

    La redirection est obtenue par l’ordinateur gestionnaire qui diffuse une image Ethernet qui utilise l’adresse MAC de l’ordinateur en état de désintégation comme adresse source. Ce comportement fait que le commutateur réseau se comporte comme si l’ordinateur en mode arrêt avait été déplacé vers le même port que l’ordinateur du gestionnaire. L’ordinateur gestionnaire envoie également des paquets ARP pour que les ordinateurs en cours de mise en mémoire conservent l’entrée à jour dans le cache ARP. L’ordinateur gestionnaire répond également aux demandes ARP pour le compte de l’ordinateur en cours de travail et répond avec l’adresse MAC de l’ordinateur en cours de travail.

    Avertissement

    Au cours de ce processus, le mappage IP-MAC pour l’ordinateur en cours de mise en service reste le même. Le proxy de veille fonctionne en informant le commutateur réseau qu’une autre carte réseau utilise le port enregistré par une autre carte réseau. Toutefois, ce comportement est connu sous le nom de mac et est inhabituel pour les opérations réseau standard. Certains outils de surveillance réseau recherchent ce comportement et peuvent supposer qu’un problème se passe. Par conséquent, ces outils de surveillance peuvent générer des alertes ou arrêter des ports lorsque vous utilisez le proxy de veille.

    N’utilisez pas de proxy de veille si vos services et outils de surveillance réseau n’autorisent pas les mac.

  4. Lorsqu’un ordinateur gestionnaire voit une nouvelle demande de connexion TCP pour un ordinateur en veille et que la demande est vers un port sur qui l’ordinateur en veille était à l’écoute avant qu’il ne soit mis en veille, l’ordinateur du responsable envoie un paquet de veille à l’ordinateur en veille, puis arrête de rediriger le trafic pour cet ordinateur.

  5. L’ordinateur en veille reçoit le paquet de veille et se lève. L’ordinateur d’envoi retente automatiquement la connexion et, cette fois, l’ordinateur est en train de s’en prendre et peut répondre.

    Les conditions préalables et limitations du proxy de veille sont les suivantes :

Important

Si vous avez une équipe distincte responsable de l’infrastructure réseau et des services réseau, informez-la et incluez-la pendant votre période d’évaluation et de test. Par exemple, sur un réseau qui utilise le contrôle d’accès réseau 802.1X, le proxy de veille ne fonctionne pas et peut perturber le service réseau. En outre, le proxy de veille peut entraîner la générer par certains outils de surveillance réseau des alertes lorsque les outils détectent le trafic pour entraîner l’alarme d’autres ordinateurs.

  • Tous Windows d’exploitation répertoriés comme clients pris en charge dans les systèmes d’exploitation pris en charge pour les clients et les appareils sont pris en charge pour Wake On LAN.

  • Les systèmes d’exploitation invités qui s’exécutent sur une machine virtuelle ne sont pas pris en charge.

  • Les clients doivent être activés pour le proxy de veille à l’aide des paramètres clients. Bien que l’opération de proxy de veille ne dépend pas de l’inventaire matériel, les clients ne signalent pas l’installation du service proxy de veille, sauf s’ils sont activés pour l’inventaire matériel et soumis au moins un inventaire matériel.

  • Les cartes réseau (et éventuellement le BIOS) doivent être activées et configurées pour les paquets de veille. Si la carte réseau n’est pas configurée pour les paquets de veille ou si ce paramètre est désactivé, Configuration Manager le configure et l’active automatiquement pour un ordinateur lorsqu’il reçoit le paramètre client pour activer le proxy de veille.

  • Si un ordinateur possède plusieurs cartes réseau, vous ne pouvez pas configurer la carte à utiliser pour le proxy de veille . le choix n’est pas déterministe. Toutefois, l’adaptateur choisi est enregistré dans le SleepAgent_<DOMAIN > @SYSTEM_0.log.

  • Le réseau doit autoriser les demandes d’écho ICMP (au moins dans le sous-réseau). Vous ne pouvez pas configurer l’intervalle de cinq secondes utilisé pour envoyer les commandes ping ICMP.

  • La communication n’est pas chiffrée et non authentifié, et IPsec n’est pas pris en charge.

  • Les configurations réseau suivantes ne sont pas pris en charge :

    • 802.1X avec authentification de port

    • Réseaux sans fil

    • Commutateurs réseau qui lient des adresses MAC à des ports spécifiques

    • Réseaux IPv6 uniquement

    • Durées de bail DHCP inférieures à 24 heures

Si vous souhaitez faire s’installer des ordinateurs pour une installation de logiciels programmée, vous devez configurer chaque site principal pour qu’il utilise des paquets de veille.

Pour utiliser le proxy de veille, vous devez déployer les paramètres du client proxy de veille De gestion de l’alimentation en plus de configurer le site principal.

Décidez s’il faut utiliser des paquets de diffusion dirigés par sous-réseau ou des paquets d’unicast, et le numéro de port UDP à utiliser. Par défaut, les paquets de veille traditionnels sont transmis à l’aide du port UDP 9, mais pour renforcer la sécurité, vous pouvez sélectionner un autre port pour le site si ce port alternatif est pris en charge par les routeurs et pare-feu intermédiaires.

Choisir entre unicast et Subnet-Directed diffusion pour Wake-on-LAN

Si vous avez choisi d’émettre des ordinateurs en envoyant des paquets de veille traditionnels, vous devez décider s’il faut transmettre des paquets unicast ou des paquets de diffusion directs de sous-réseau. Si vous utilisez un proxy de veille, vous devez utiliser des paquets unicast. Dans le cas contraire, utilisez le tableau suivant pour vous aider à déterminer la méthode de transmission à choisir.

Méthode de transmission Avantage Inconvénient
Unicast Solution plus sécurisée que les diffusions dirigées par un sous-réseau, car le paquet est envoyé directement à un ordinateur plutôt qu’à tous les ordinateurs d’un sous-réseau.

Il se peut que cela ne nécessite pas de reconfiguration des routeurs (vous de devez peut-être configurer le cache ARP).

Consomme moins de bande passante réseau que les transmissions de diffusion dirigées par un sous-réseau.

Pris en charge avec IPv4 et IPv6.
Les paquets de veille ne trouvent pas les ordinateurs de destination qui ont modifié leur adresse de sous-réseau après la dernière planification de l’inventaire matériel.

Les commutateurs doivent peut-être être configurés pour le transfert de paquets UDP.

Certaines cartes réseau peuvent ne pas répondre aux paquets de veille dans tous les états de veille lorsqu’elles utilisent la monodiffusion comme méthode de transmission.
Subnet-Directed diffusion Taux de réussite plus élevé que l’unicast si vous avez des ordinateurs qui modifient fréquemment leur adresse IP dans le même sous-réseau.

Aucune reconfiguration de commutateur n’est requise.

Taux de compatibilité élevé avec les adaptateurs d’ordinateur pour tous les états de veille, car les diffusions dirigées par un sous-réseau étaient la méthode de transmission d’origine pour l’envoi de paquets de veille.
Solution moins sécurisée que l’utilisation de l’unicast, car un attaquant peut envoyer des flux continus de demandes d’écho ICMP à partir d’une adresse source falsifiée à l’adresse de diffusion dirigée. Ainsi, tous les hôtes répondent à cette adresse source. Si des routeurs sont configurés pour autoriser les diffusions dirigées vers un sous-réseau, la configuration supplémentaire est recommandée pour des raisons de sécurité :

- Configurez les routeurs pour autoriser uniquement les diffusions dirigées sur IP à partir du serveur de site Configuration Manager, à l’aide d’un numéro de port UDP spécifié.
- Configurez Configuration Manager pour utiliser le numéro de port non spécifié par défaut.

Peut nécessiter une reconfiguration de tous les routeurs intermédiaires pour activer les diffusions dirigées vers le sous-réseau.

Consomme plus de bande passante réseau que les transmissions unicast.

Pris en charge avec IPv4 uniquement ; IPv6 n’est pas pris en charge.

Avertissement

Il existe des risques de sécurité associés aux diffusions dirigées par un sous-réseau : une personne malveillante peut envoyer des flux continus de demandes d’écho ICMP (Internet Control Message Protocol) à partir d’une adresse source falsifiée à l’adresse de diffusion dirigée, ce qui entraîne la réponse de tous les hôtes à cette adresse source. Ce type d’attaque par déni de service est communément appelé attaque par déni de service et est généralement atténué en n’autorisant pas les diffusions dirigées vers le sous-réseau.