WSUS.DE
Windows Server Update Services >> Installation und Konfiguration >> IP-Kreis für Updates einschränken
http://www.wsus.de/cgi-bin/yabb/YaBB.pl?num=1192623168

Beitrag begonnen von conator am 17.10.07 um 14:12:47

Titel: IP-Kreis für Updates einschränken
Beitrag von conator am 17.10.07 um 14:12:47
Hallo,

Ich hoffe, dass daskein Repost ist. Habe jedenfalls das ganze Board durchforstet und nichts gefunden:

Folgender Sachverhalt:

Wir haben in der Firma einen WSUS 3.0, der auch super fuktioniert. Nun haben wir viele Notebooks, die ab und zu direkt im LAN sind, teilweise aber auch per VPN im Firmennetz. Im ersten Fall (firekt am LAN) sollen die natürlich ihre Updates vom WSUS bekommen. Im zweiteren (VPN über Internet) natürlich nicht, viele haben nämlich nur ISDN.
Das Management über Arbeitsgruppen hilft in diesem Fall nicht wirklich weiter.
Die Idee wäre nun, den IP-Kreis einzuschränken, so dass Rechner mit IPs, die für VPN vergeben werden, keine Updates vom WSUS erhalten.

Die Frage ist nur: WIE??? Oder gibt es andere, sinnvollere Ansätze?

Wäre Klasse wenn jemand eine Idee hätte,

danke schonmal!!

Titel: Re: IP-Kreis für Updates einschränken
Beitrag von WSUS.DE-Admin am 17.10.07 um 14:35:34
Warum sollen die Clients die perVPN angebunden sind keine Updates vom WSUS erhalten?
Die im Betriebssystem integrierte Software "BITS" (Background Intelligent Transfer Service) sorgt dafür, dass nur dann Updates auf die Clients übertragen werden, wenn die Bandbreite des Netzwerks es zulässt.

Titel: Re: IP-Kreis für Updates einschränken
Beitrag von Sunny am 17.10.07 um 15:17:40

conator schrieb am 17.10.07 um 14:12:47:

Nun haben wir viele Notebooks, die ab und zu direkt im LAN sind, teilweise aber auch per VPN im Firmennetz. Im ersten Fall (firekt am LAN) sollen die natürlich ihre Updates vom WSUS bekommen. Im zweiteren (VPN über Internet) natürlich nicht, viele haben nämlich nur ISDN.


Ich kann mich Marco nur anschließen, jeder Client sollte Updates bekommen. Bei mir gibts ca. 50 Clients die sich teilweise sogar noch ANALOG einwählen, auch die sind aktuell. Die User merken davon gar nichts.

Der BITS nimmt sich nur 10% der zur Verfügung stehenden Bandbreite für den Download der Updates.

Es gibt aber eine Möglichkeit. Wenn die VPN-Clients in einem eigenen IP-Range sind, dann schau dir diesen Artikel mal an:
Message-ID: <#KYbsvgnHHA.3520@TK2MSFTNGP04.phx.gbl>
Zu finden in der Newsgroup: microsoft.public.de.german.windows.gruppenrichtlinien vom 24.05.2007.

Titel: Re: IP-Kreis für Updates einschränken
Beitrag von heinrich am 18.10.07 um 12:56:25

conator schrieb am 17.10.07 um 14:12:47:
Hallo,

Die Idee wäre nun, den IP-Kreis einzuschränken, so dass Rechner mit IPs, die für VPN vergeben werden, keine Updates vom WSUS erhalten.
Die Frage ist nur: WIE??? Oder gibt es andere, sinnvollere Ansätze?



Ich stimme den Vorrednern zu, es gibt eigentlich keinen Grund den anstehenden Traffic zu fuerchten, dafuer gibt es schliesslich den BITS.  8-)

Was mir allerdings auf die schnelle einfaellt sind zwei alternative Loesungen mit denen du dein Ziel erreichen kannst.
Nutz die Firewall um den Clients den Zugriff auf den Server zu verweigern. Wenn sie sich in einem bestimmten IP-Bereich befinden kannst du die WSUS-Ports sperren.
Falls die Clients es hergeben kannst du alternativ auch per Security Policie fuer den spezifizierten IP-Bereich auf dem WSUS die Kommunikation verschluesseln / ein Zertifikat abfragen das sie nicht haben.

Alles nicht im Sinne des Erfinders, wuerde aber funktionieren.

WSUS.DE » Powered by YaBB 2.6.11!
YaBB Forum Software © 2000-2016. Alle Rechte vorbehalten.