Microsoft a intégré la fonctionnalité « Proxy de mise en éveil » dans Configuration Manager CB. Il semblait nécessaire d’effectuer un focus sur ce sujet car sa mise en place peut se révéler complexe : Voici les éléments vous aidant à comprendre la méthode « Proxy » :

En résumé, l’activation du « Proxy de mise en éveil » permet via le client Configuration Manager d’utiliser des ordinateurs du sous-réseau afin de garantir la mise en veille des machines sur le sous-réseau…

Généralités :

  • Planifier la sortie de veille des clients System Center Configuration Manager : les méthodes :

System Center Configuration Manager peut gérer des paramètres spécifiques d’éveil des ordinateurs en état de veille pour installer des logiciels et des mises à jour logicielles :

Méthode traditionnelle : La méthode traditionnelle se base sur des paramètres Wake On Lan « standard ». C’est-à-dire : configuration de la carte réseau, activation du port (7 ou 9) et une solution de « Magic Packet » par sous-réseau en utilisant soit la diffusion dirigée vers les sous-réseau ou en monodiffusion.

En complément : Proxy de mise en éveil Configuration Manager : Il est possible de compléter la méthode traditionnelle par le paramètre « Proxy de mise en éveil » implémenté dans le client Configuration Manager. Ce mode devra utiliser la monodiffusion.

 

  • Les méthodes de diffusion : monodiffusion ou diffusion dirigée vers le sous-réseau :

2 modes sont disponibles pour réveiller des ordinateurs en émettant des paquets de mise en éveil traditionnels :

Monodiffusion : le paquet est envoyé directement à un seul ordinateur

Avec cette méthode de transmission, l’adresse IP et l’adresse MAC sont extraites de l’inventaire matériel et les paquets de réveil sont directement ciblés sur l’adresse IP du sous-réseau. Si la machine cible a changé d’adresse IP et que l’inventaire matériel n’a pas encore été mis à jour, le paquet de réveil atteindra l’adresse IP de destination mais échouera car l’adresse MAC est différente. Les commutateurs pour transférer les paquets UDP doivent être configurés et vérifiez les anciennes cartes réseau prennent en charge cette méthode de transmission. Pour que cette méthode réussisse, les entrées des ordinateurs clients doivent figurer dans le cache ARP du routeur ou du serveur de site.

Diffusion dirigée vers le sous-réseau : Le paquet est envoyé à tous les ordinateurs du sous-réseau

Dans cette méthode de transmission, l’adresse de sous-réseau et l’adresse MAC sont extraites de l’inventaire matériel et les paquets de réveil sont ciblés sur le sous-réseau où ils sont diffusés vers toutes les machines de ce sous-réseau. Cette méthode échouera si la machine a changé de sous-réseau et si le serveur ConfigMgr n’a pas encore reçu l’inventaire matériel mis à jour avec les informations de son dernier sous-réseau. Cependant, il ne devrait pas échouer si la machine a changé d’adresse IP car les paquets de réveil atteignent l’adresse de sous-réseau plutôt que l’adresse IP et doivent toujours atteindre le client. Par défaut, la diffusion de sous-réseau est désactivée sur les routeurs et les commutateurs. Il est important de s’assurer que cette option est activée si c’est la méthode choisie. Attention, cette méthode ne prend pas en charge les émissions IPv6. Pour des raisons de sécurité et pour éviter les attaques de type smurf, Microsoft recommande d’utiliser un port autre que celui par défaut.

 

  • Les avantages et inconvénients pour chaque méthode :

Ce tableau vous indique quelques avantages et inconvénients à prendre en considération dans votre décision :

Méthode « Proxy » :

 

Proxy de mise en éveil Configuration Manager : le processus en 5 étapes
  1. Les ordinateurs dotés du client Configuration Manager qui ne sont pas en veille sur le sous-réseau vérifient si les autres ordinateurs du sous-réseau sont éveillés. Pour effectuer cette vérification, ils s’envoient une commande ping TCP/IP toutes les cinq secondes.
  2. Si les autres ordinateurs ne répondent pas, ils sont considérés comme étant en veille. Les ordinateurs qui ne sont pas en veille deviennent « ordinateurs gestionnaires » du sous-réseau.

– Si un ordinateur ne répond pas ( éteint, supprimé du réseau ou si le paramètre du client proxy n’est pas appliqué) : Les ordinateurs reçoivent un paquet de mise en éveil tous les jours à 14h ( heure locale ). Les ordinateurs qui ne répondent pas ne sont plus considérés comme étant en veille et ne sont pas mis en éveil par le proxy.

– Pour prendre en charge un proxy de mise en éveil, au moins 3 ordinateurs doivent être sortis de veille pour chaque sous-réseau. Pour remplir cette condition, trois ordinateurs sont choisis sans déterminisme en tant que « gardiens » du sous-réseau. Cet état signifie qu’ils restent éveillés, malgré toute stratégie d’alimentation configurée pour la mise en veille ou la mise en veille prolongée à l’issue d’une période d’inactivité. Les gardiens respectent les commandes d’arrêt ou de redémarrage, par exemple, consécutivement à des tâches de maintenance. Dans ce cas, les gardiens restants mettent en éveil un autre ordinateur du sous-réseau afin que le sous-réseau continue à disposer de trois gardiens..

3. Les ordinateurs gestionnaires demandent au commutateur réseau de rediriger le trafic réseau des ordinateurs en veille vers eux-mêmes..

– La redirection est accomplie par l’ordinateur gestionnaire qui émet une trame Ethernet qui utilise l’adresse MAC de l’ordinateur en veille comme adresse source. Ce comportement permet au commutateur réseau de se comporter comme si l’ordinateur en veille avait été déplacé vers le même port que celui sur lequel se trouve l’ordinateur gestionnaire. L’ordinateur gestionnaire envoie également des paquets ARP pour que les ordinateurs en veille conservent l’entrée actualisée dans le cache ARP. L’ordinateur gestionnaire répond également aux requêtes ARP au nom de l’ordinateur en veille en utilisant l’adresse MAC de cet ordinateur en veille.

Attention :

Ce procédé peut émettre un comportement connu appelé « Bagottement MAC ». Ce point devra être soumis au pôle réseau sur la gestion de ce type d’alertes.

4.Lorsqu’un ordinateur gestionnaire voit une nouvelle demande de connexion TCP pour un ordinateur en veille et que la demande cible un port que l’ordinateur en veille écoutait avant sa mise en veille, l’ordinateur gestionnaire envoie un paquet de mise en éveil à l’ordinateur en veille, puis arrête la redirection du trafic pour cet ordinateur.

  1. L’ordinateur en veille reçoit le paquet de mise en éveil et sort de veille. L’ordinateur expéditeur procède automatiquement à une nouvelle tentative de connexion et cette fois, l’ordinateur est mis en éveil et peut répondre.

 

  • Les conditions et limitations liées au proxy de mise en éveil :
  • Tous les systèmes d’exploitation Windows sont pris en charge pour l’éveil par appel réseau (Wake On LAN). Les clients doivent être activés pour le proxy de mise en éveil via les paramètres du client Configuration Manager.
  •  Les cartes réseau (et le BIOS) doivent être activées et configurées pour les paquets de mise en éveil. Si la carte réseau n’est pas configurée, Configuration Manager le configure et l’active automatiquement pour un ordinateur à réception du paramètre client permettant d’activer le proxy de mise en éveil.
  • Si un ordinateur possède plusieurs cartes réseau, vous ne pouvez pas configurer la carte à utiliser pour le proxy de mise en éveil. La carte est enregistrée dans le fichier : SleepAgentWprod@SYSTEM_0.log
  • Le réseau doit autoriser les requêtes d’écho ICMP (au moins au sein du sous-réseau). On ne peut pas configurer l’intervalle de cinq secondes qui est utilisé pour envoyer les commandes ping ICMP.
  • Le protocole IPsec n’est pas pris en charge.

 

  • Workflow d’activation WOL :

  • Prérequis :

Certains prérequis sont nécessaires avant sa mise en production :

Une évaluation de la solution devra être établie sur un périmètre restreint sur un sous-réseau pilote.

 

  • Paramètres de mise en place :

Activation Wake on Lan dans System Center Configuration Manager : Option du Proxy

  • Activation du paramètre client : « Autoriser le proxy de mise en éveil » :

  • Activation du paramètre sur le serveur de site : « Activer Wake On LAN pour ce site » :

  • Définition des paramètres avancées sur le serveur de site :

Permet de personnaliser :

  • Le nombre maximum de nouvelles tentatives de transmission et le délai séparant ces tentatives.
  • Le nombre maximum de threads de transmission.
  • Le décalage de transmission, pour spécifier la date d’envoi des paquets de réveil avant une activité planifiée

Ensuite :

  • Activation du paramètre sur le serveur de site : « Vérifier l’onglet Ports » :

  • Activation du paramètre « Wake on Magic Packet » dans les propriétés de la carte réseau de votre client :

  • Activation du paramètre « Autoriser ce périphérique à sortir l’ordinateur du mode veille » dans les propriétés de la carte réseau de votre client :

 

  • Suivi de l’activité WOL via les rapports :

System Center Configuration Manager permet de suivre l’activité d’éveil par appel réseau via la gestion des rapports :

error

Enjoy this blog? Please spread the word :)

RSS
Follow by Email
LinkedIn
LinkedIn
Share