A la découverte de WUDO (Windows Update Delivery Optimization)
Qu’est-ce que WUDO ?
Windows 10 a introduit en 2015 une nouvelle fonctionnalité appelée WUDO (Windows Update Delivery Optimization) améliorant la distribution des mises à jour de logiciels sur les postes de travail et serveurs. Elle permet de télécharger de manière distribuée des mises à jour en utilisant la bande passante des machines les ayant déjà installées en local.
Cette fonction est activée par défaut sur Windows 10 et utilise une partie de votre bande passante pour télécharger en pair à pair (P2P) des mises à jour de logiciels et les installer sur tous vos appareils connectés sur le même réseau (le réseau local).
Plutôt que de télécharger un fichier de mise à jour complet à partir d’une machine, l’optimisation de la livraison le divise en petits morceaux puis identifie la source de téléchargement la plus rapide et la plus fiable pour chaque partie du fichier.
L’optimisation de la livraison tient également compte de l’utilisation du disque local, de l’utilisation des réseaux cellulaires, de la durée de vie de la batterie et des autres activités du réseau. Cette fonctionnalité est intégrée à Windows et s’appuie sur les mesures de sécurité existantes dans Windows Update et Windows Store pour vérifier l’authenticité de chaque fichier téléchargé à partir d’autres PC. Il a notamment été conçu pour offrir une meilleure expérience de téléchargement des mises à jour, plus fiable et optimisée, en particulier pour les machines aux conditions de réseau difficiles à forte latence.
Suite à l’article du blog Windows Insider sur le build 14915 (« Announcing Windows 10 Insider Preview Build 14915 for PC and Mobile »), ils ont constaté une réduction de 30% à 50% de l’utilisation de la bande passante Internet requise pour maintenir à jour plusieurs PC sur le même réseau local avec les dernières versions et applications Insider Preview du Store.
Mais avec quelques inconvénients
Cependant, avec WUDO d’activé, Microsoft permet aux utilisateurs de récupérer des copies de mises à jour Windows 10 et 11 localisées dans le cache de n’importe quel PC relié à Internet. Lorsque cela arrive, le PC d’un utilisateur agit alors comme un serveur de substitution aux serveurs de Microsoft Update.
Cela peut impliquer une congestion du réseau entrainant une vitesse de téléchargement lente ou encore une latence élevée. En effet, tout utilisateur ayant cette fonctionnalité mal configurée peut se voir télécharger ses mises à jour depuis les 4 coins du monde ou bien fournir des mises à jour pour d’autres utilisateurs inconnus, n’importe où et n’importe quand.
Comment le désactiver ?
Ainsi, la fonctionnalité Wudo devient intéressante sur les réseaux d’entreprises à condition que celle-ci soit correctement configurée afin de ne récupérer les mises à jour que sur le réseau local et encore…
Il est donc conseillé de la désactiver sur les réseaux locaux contenant peu de machine comme les réseaux domestiques ou encore, par défaut, de la désactiver s’il n’y a pas la possibilité de configurer correctement cette fonctionnalité. En effet, dans les réseaux complexes, la configuration peut rapidement devenir laborieuse et prendre beaucoup de temps à réaliser correctement.
Sur un poste
Pour cela, pour désactiver la fonctionnalité Wudo sur un poste, cliquez sur le menu Démarrer > Paramètres > Mise à jour et sécurité > Windows Update > Options avancées (Si les options avancées ne sont pas disponibles, aller dans l’onglet « Optimisation de la distribution ». Dans celles-ci, dans « Choisir le mode de remise des mises à jour », allez dans « Choisir le mode de remise des mises à jour », puis faites glisser l’option sur « Désactivé ».
En image, réaliser la procédure comme suit :
Etape 1 : Aller dans le menu Démarrer de Windows puis cliquer sur Paramètres
Etape 2 : Cliquer sur Mise à jour et sécurité
Etape 3 : Aller dans l’onglet Optimisation de la distribution
Etape 4 : Désactiver l’autorisation de téléchargement des mises à jour à partir d’autres PC
Sur les machines membres d’un domaine Microsoft
Deux méthodes sont possibles afin de réaliser la désactivation. La première utilise la clé de registre directement. La seconde utilise un modèle de GPO.
Etape 1 : Aller dans le menu Démarrer de Windows Server et Cliquer sur Outils d’administration (Rechercher si non présent dans les raccourcis)
Etape 2 : Ouvrir l’application Gestion des stratégies de groupe
Etape 3 : Créer un nouvel objet de stratégie de groupe
Etape 4 : Cliquer droit sur la nouvelle GPO créée puis cliquer sur Modifier…
Une nouvelle fenêtre va alors s’ouvrir. A partir de là, deux méthodes s’offrent à vous. La première consiste à modifier directement la clé de registre tandis que la seconde va utiliser un modèle afin d’appliquer les modifications.
Méthode 1 : Création de la GPO via le registre
Création / Mise à jour d’une nouvelle propriété du registre et modifier la clé DODownloadMode présente à l’emplacement suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Config
Méthode 2 : Création de la GPO via un modèle
Etape 1 : Aller dans le dossier « Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows » puis rechercher le modèle « Optimisation de la distribution ».
Si celui-ci n’existe pas, vous pouvez télécharger les modèles d’administration directement sur le site de Microsoft (« Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016 »), puis après les avoir installés en local, copiez les dans le dossier « C:\Program Files (x86)\Microsoft Group Policy\Windows […]\… » sous « C:\Windows\SYSVOL\sysvol\[VotreDomaine]\Policies ».
Ainsi, pour désactiver WUDO, il ne manque plus à modifier le paramètre « Mode de téléchargement » à 0.
Etape 2 : Modifier le mode de téléchargement à http uniquement afin de contraindre la mise à jour directe.
Nouveauté Windows 10 & 11
Depuis la version 20H2 de Windows 10 et sur Windows 11, des nouveautés ont vus le jour :
- De nouvelles options de sélection d’homologue ont été ajoutées et ainsi, les options disponibles sont les suivantes :
- 0 = NAT ;
- 1 = Masque de sous-réseau ;
- 2 = Découverte d’homologue local.
L’option masque de sous-réseau s’applique aux modes de téléchargement LAN (1) et Groupe (2). Si le mode groupe est définie, l’optimisation de la distribution se connecte aux homologues découverts localement qui font également partie du même groupe (ont le même ID de groupe).
- Une nouvelle option de découverte d’homologues pour restreindre la sélection d’homologues a été ajouté. Cette option limite la découverte d’homologues locaux à l’aide du protocole DNS-SD. Lorsque vous définissez l’option 2, l’optimisation de la distribution limite la sélection d’homologues aux homologues qui sont découverts localement (à l’aide de DNS-SD).
Ainsi, il est tout à fait possible de configurer les machines d’un réseau afin qu’elles ne sortent pas sur Internet mais téléchargent leur mise à jour seulement entre elles.
Paramètres disponibles
Les paramètres d’optimisation de la distribution se trouvent dans Stratégie de groupe sous Configuration\Stratégies\Modèles d’administration\Composants Windows\Optimisation de la distribution. Voir Annexe 1.
Plusieurs modes de téléchargement des mises à jour sont disponibles : HTTP uniquement, LAN, Groupe, Internet, Simple et Contournement. (Pour plus d’information, se référer à l’annexe 2)
Le mode de téléchargement indique quelles sources les clients sont autorisés à utiliser pour télécharger des mises à jour Windows, en plus des serveurs Windows Update. Le tableau suivant présente les options disponibles pour le mode de téléchargement, ainsi que leur objectif.
Associé au Mode de téléchargement de groupe, l’ID de groupe, permet aux administrateurs de créer des groupes de périphériques personnalisés qui partagent le contenu entre les périphériques du groupe. Ainsi l’optimisation de la distribution utilise des mises à jour mises en cache localement. Si les appareils disposent d’un espace de stockage local suffisant et que vous souhaitez mettre en cache plus de contenu, ou si vous disposez d’un espace de stockage limité et que vous souhaitez réduire la quantité de contenu mis en cache, utilisez les paramètres suivants pour ajuster le cache d’optimisation de la distribution en fonction de votre scénario.
Selon les paramètres définis, il est possible de fixer la bande passante de téléchargement maximale au premier plan (En dehors de téléchargement via le LAN), la bande passante maximale de téléchargement en arrière-plan (En dehors de téléchargement via le LAN) – ceux-ci aussi définissable en pourcentage de bande passante -, ainsi que la bande passante maximale de chargement (En Ko/s)
Configuration de WUDO en réseau
Téléchargement local
Ce mode de fonctionnement par défaut (Mode de téléchargement égale à 1) permet le partage entre des pairs d’un même réseau. Le service cloud Optimisation de la distribution recherche les autres clients qui se connectent à Internet à l’aide de la même adresse IP publique que le client cible. Ces clients tentent ensuite de se connecter à d’autres homologues sur le même réseau à l’aide de leur adresse IP de sous-réseau privée.
L’inconvénient de ce mode est si la distance entre plusieurs machines du réseau local se trouvent à des endroits très éloignés physiquement. Il faudra alors privilégier plutôt un mode de fonctionnement par groupe.
Limitation grâce au téléchargement par groupe
Par défaut, le partage entre homologues sur les clients utilisant le mode de téléchargement de groupe est limité au même domaine dans Windows 10, version 1511 et au même domaine et au même site services de domaine Active Directory dans Windows 10, version 1607. À l’aide du paramètre ID de groupe, vous pouvez éventuellement créer un groupe personnalisé qui contient des appareils qui doivent participer à l’optimisation de la distribution, mais qui ne doivent pas se trouver dans ces limites de domaine ou de site des services de domaine Active Directory, y compris les appareils d’un autre domaine.
Sélectionner la source des ID de groupe
À l’aide de l’ID de groupe, vous pouvez limiter davantage le groupe par défaut (par exemple, vous pouvez créer un sous-groupe représentant un immeuble de bureaux) ou étendre le groupe au-delà du domaine, ce qui permet aux appareils de plusieurs domaines de votre organisation d’être des homologues. Ce paramètre nécessite la spécification du groupe personnalisé sous la forme d’un GUID sur chaque appareil appartenant à ce groupe.
À compter Windows 10 version 1803, définissez cette stratégie pour restreindre la sélection d’homologues à une source spécifique. Les options sont les suivantes :
- 0 = Non définie
- 1 = Site AD
- 2 = SID de domaine authentifié
- 3 = ID d’option DHCP (avec cette option, le client interrogera l’ID d’option DHCP 234 et utilisera la valeur GUID renvoyée comme ID de groupe)
- 4 = suffixe DNS
- 5 = À partir de Windows 10 version 1903, vous pouvez utiliser l’ID de locataire Azure Active Directory (AAD) comme moyen de définir des groupes. Pour ce faire, définissez la valeur de DOGroupIdSource sur sa nouvelle valeur maximale de 5.
Lorsqu’il est défini, l’ID de groupe est attribué automatiquement à partir de la source sélectionnée. Si vous définissez cette stratégie, la stratégie GroupID est ignorée. L’option définie dans cette stratégie s’applique uniquement au mode de téléchargement Groupe (2). Si Groupe (2) n’est pas définie en mode de téléchargement, cette stratégie est ignorée. Si vous définissez une valeur autre que 0-5, la stratégie est ignorée.
La solution Update Compliance
La solution Update Compliance permet de réaliser un état de l’optimisation de la distribution ainsi que des aides pour réaliser toutes les configurations. Cette solution fait partie de la suite Azure et il est nécessaire d’y souscrire pour un avoir accès.
Conseils et exemple de configuration de WUDO
Suivant les recommandations de Microsoft, pour un réseau de plus de 30 machines, il est conseillé de fixer à 10Mo la taille minimale de fichier à mettre en cache tout en ayant modifié le mode de téléchargement à 2. De plus, vous pouvez définir l’âge maximum du cache sur 604 800 (sur 7 jours) ou 30 jours selon les besoins.
Voici un exemple de configuration d’un groupe de sécurité pour effectuer les mises à jour. Il est conseillé que les machines membres partagent une même zone graphique.
Etape 1 : Aller dans l’outil Utilisateurs et ordinateur Active Directory puis créer un groupe d’ordinateurs.
Etape 2 : Dans le menu Affichage, activer les Fonctionnalités avancées
Etape 3 : Aller dans les propriétés du groupe que vous venez de créer et récupérer le GUID de celui-ci. Il sera utile afin de configurer l’ID de Groupe de la GPO.
Etape 4 : Modifier la GPO afin de configurer l’Optimisation de la distribution afin d’obtenir une GPO ressemblante au rapport suivant (Attention, ce rapport n’est qu’à titre informatif et peut ne pas être adapté à votre réseau) :
Pour conclure…
WUDO ou Windows Update Delivery Optimization reste une fonctionnalité très controversée car méconnue et assez peu documentée. On peut voir des machines se connecter à l’autre bout du monde afin de recevoir une mise à jour seulement à cause d’une mauvaise configuration au sein d’un réseau d’entreprise ou bien d’un réseau domestique. Même si Microsoft affirme que l’intégrité et l’authenticité sont assurées, il est difficile à dire si une personne malveillante peut l’exploitée. Il est alors conseillé de la désactiver faute d’information supplémentaire et pertinente.
Cependant, si cette fonctionnalité est correctement configurée et maîtrisée, il est possible de bénéficier d’une économie de bande passante non négligeable au sein d’un réseau tout en prévenant les connections non souhaitées à l’extérieur du système d’information.
Il y a cependant des limitations car chaque machine possède des caractéristiques différentes et cette fonctionnalité a tendance à consommer relativement beaucoup d’espace disques par exemple. Selon le disque installé, il pourrait y avoir de nombreuses latences et donc une dégradation des performances de la machine hôte.
Il est donc nécessaire de bien étudier WUDO avant d’approuver son utilisation ou non au sein d’un réseau d’entreprise afin de ne pas générer d’effets de bord indésirables telle qu’une utilisation anormale de lien à faible débit ou une dégradation des performances des machines. Ce d’autant, que l’analyse des incidents peut s’avérer complexe pour en trouver la cause.
Annexes
Annexe 1 : Paramètres de la fonctionnalité WUDO
Annexe 2 : Options du monde de téléchargement
| Option du mode de téléchargement | Fonctionnalité de l’option définie |
| HTTP uniquement (0) | Ce paramètre désactive la mise en cache pair à pair, mais permet toujours à l’optimisation de la distribution de télécharger du contenu sur HTTP à partir de la source d’origine du téléchargement. Ce mode utilise des métadonnées supplémentaires fournies par les services cloud d’optimisation de la distribution. |
| LAN (1) | Ce mode de fonctionnement par défaut permet le partage entre des pairs d’un même réseau. Le service cloud Optimisation de la distribution recherche les autres clients qui se connectent à Internet à l’aide de la même adresse IP publique que le client cible. Ces clients tentent ensuite de se connecter à d’autres homologues sur le même réseau à l’aide de leur adresse IP de sous-réseau privée. |
| Groupe (2) | Lorsque le mode groupe est définie, le groupe est automatiquement sélectionné en fonction du site des services de domaine Active Directory (AD DS) de l’appareil (Windows 10, version 1607) ou du domaine sur quoi l’appareil est authentifié (Windows 10, version 1511). En mode Groupe, l’homologation est effectuée sur des sous-réseaux internes, entre les appareils qui appartiennent au même groupe. Cela inclut les appareils situés dans des bureaux distants. Vous pouvez utiliser l’option GroupID pour créer votre propre groupe personnalisé indépendamment des domaines et des sites AD DS. À partir Windows 10, version 1803, vous pouvez utiliser le paramètre GroupIDSource pour tirer parti d’une autre méthode pour créer des groupes dynamiquement. |
| Internet (3) | Active les sources homologues Internet pour l’optimisation de la distribution. |
| Simple (99) | Le mode Simple désactive entièrement les services cloud de la fonction d’optimisation de la distribution (dans le cas des environnements hors ligne). La fonction d’optimisation de la distribution bascule automatiquement sur ce mode lorsque les services cloud qui lui sont associés ne sont pas disponibles, inaccessibles, ou lorsque la taille du contenu est inférieure à 10Mo. Dans ce mode, la fonction d’optimisation offre une expérience de téléchargement fiable, sans mise en cache de pair à pair. |
| Contournement (100) | Permet de contourner l’optimisation de la distribution et d’utiliser la fonctionBITS, à la place. Vous devez sélectionner ce mode uniquement si vous utilisez WSUS et préférez utiliser BranchCache. Vous n’avez pas besoin de définir cette option si vous utilisez Configuration Manager. Si vous souhaitez désactiver la fonctionnalité P2P, il est préférable de définir DownloadMode sur 0 ou 99. |
Sources
CommentCaMarche : Windows 10 – Comment désactiver Windows Update Delivery Optimization ?
Microsoft : Announcing Windows 10 Insider Preview Build 14915 for PC and Mobile
Microsoft : Optimisation de la distribution pour les mises à jour de client Windows
https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-delivery-optimization
Microsoft : Référence sur l’optimisation de la distribution
https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-delivery-optimization-reference
Microsoft : Configurer l’optimisation de la distribution pour les mises à jour Windows client
https://docs.microsoft.com/fr-fr/windows/deployment/update/waas-delivery-optimization-setup
Microsoft : Optimisation de la distribution dans Update Compliance
https://docs.microsoft.com/fr-fr/windows/deployment/update/update-compliance-delivery-optimization
ActiveDirectoryPro : How to Configure Group Policy Central Store
https://activedirectorypro.com/configure-group-policy-central-store/
Microsoft : Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016
https://www.microsoft.com/en-us/download/details.aspx?id=53430