Normales Thema Empfehlungen für meine Umgebung (Gelesen: 3238 mal)
eisenmann
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Standort: marktheidenfeld
Mitglied seit: 12.07.07
Empfehlungen für meine Umgebung
13.07.07 um 09:00:56
Beitrag drucken  
Hallo!
Nachdem meine Tests dank euch hier im Forum (danke nochmals) alle erfolgreich verlaufen sind und alles im LAN läuft, wie ich mir das vorstelle wollte ich mal für die geplante Umgebung eure Empfehlungen hören.
Es geht um ein großes Active Directory mit ca. 1500 bis 1700 Usern. Davon sind ca. 100 User in WAN-Netzen angebunden, was aber Dank des integrierten BITS denke ich kein Problem sein sollte.
Nun meine Fragen:
1. Was würdet Ihr an Hardware nehmen. Ich habe da an einen etwas stärkeren Rechner/Server gedacht und einen etwas schwächeren Replikatserver. Wie sähen eure Tips aus?
2. Wie schauts aus im AD? Erkennt der WSUS das AD sprich die Computerkonten oder nur die Rechner, die sich bei Ihm angemeldet haben?
3. Wie schauts mit der Wartung des Servers aus? Ist nur einmal monatlich am Patchday was zu tun oder muss die Kiste wirklich täglich gewartet und überwacht werden? Wie ist das bei euch? Läuft der einfach vor sich hin oder ist er sehr arbeitsintensiv?
4. Welche Produkte werden bei euch upgedated? Nur Betriebssystem oder auch Officeprodukte bzw. Server?

Vielen Dank für eure Empfehlungen und Ratschläge im Voraus!

MFG
Der Eisenmann
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Empfehlungen für meine Umgebung
Antwort #1 - 13.07.07 um 09:49:47
Beitrag drucken  
eisenmann schrieb on 13.07.07 um 09:00:56:
Es geht um ein großes Active Directory mit ca. 1500 bis 1700 Usern. Davon sind ca. 100 User in WAN-Netzen angebunden, was aber Dank des integrierten BITS denke ich kein Problem sein sollte.


Wie stark frequentiert ist die jeweilige Leitung, bzw. wie stark ist die Leitung ausgelegt?

eisenmann schrieb on 13.07.07 um 09:00:56:
Nun meine Fragen:
1. Was würdet Ihr an Hardware nehmen. Ich habe da an einen etwas stärkeren Rechner/Server gedacht und einen etwas schwächeren Replikatserver. Wie sähen eure Tips aus?


Eine generelle Empfehlung wirst Du wohl nicht bekommen, spare aber nicht mit CPU + RAM. Möchtest Du einen SQL-Server 2005 für den WSUS nehmen oder die integrierte Windows Internal Database? Bei der Anzahl von Rechnern könnte es mit der WID AFAIK knapp werden. Und der Platz auf der HDD ist auch nicht unerheblich. Je nach Anzahl Produkte, Kategorien + Sprachen kommst Du schnell auf über 30 oder 50 GB.

eisenmann schrieb on 13.07.07 um 09:00:56:
2. Wie schauts aus im AD? Erkennt der WSUS das AD sprich die Computerkonten oder nur die Rechner, die sich bei Ihm angemeldet haben?


Normalerweise meldet sich der Client beim WSUS. Der WSUS selbst liest keinerlei Konten aus dem AD ein. Dafür gibts ein kleines Tool von MS. ADImporter: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

eisenmann schrieb on 13.07.07 um 09:00:56:
3. Wie schauts mit der Wartung des Servers aus? Ist nur einmal monatlich am Patchday was zu tun oder muss die Kiste wirklich täglich gewartet und überwacht werden? Wie ist das bei euch? Läuft der einfach vor sich hin oder ist er sehr arbeitsintensiv?


Am Anfang wirst Du viel zu tun haben, bis alle Rechner wirklich mit allen Updates versorgt sind. Auch wirst Du bei vielen Clients alle möglichen Fehler bekommen können. Danach solltest Du aber Ruhe haben. Lass Dich über neue Updates per Mail vom WSUS benachrichtigen und erstelle vernünftige Regeln zum automatischen Verteilen von Revisionen beispielsweise. Dann reduziert sich der Aufwand schon sehr. Kontrolle ist aber trotzdem immer angesagt.

eisenmann schrieb on 13.07.07 um 09:00:56:
4. Welche Produkte werden bei euch upgedated? Nur Betriebssystem oder auch Officeprodukte bzw. Server?


Betriebssysteme werden bei mir komplett vom WSUS abgedeckt. Clients + Server. Ich hab nur eine eigene GPO für die Server. Da wird nicht automatisch installiert, sondern nur gedownloadet. Installieren tu ich die Server manuell. Wir haben noch Office 2000, das wird vom WSUS nicht unterstützt.

Beim Office gibs den Stolperstein mit den administrativen Installationspunkten. Wenn das Office darüber verteilt wurde uund beispielsweise SPs integriert sind, dann hat der WSUS damit ein Problem. Es läßt sich angeblich umgehen, wenn man Expressinstallationsdateien wählt, dadurch erhöht sich aber der Platzbedarf auf der HDD sehr.
  
Zum Seitenanfang
 
eisenmann
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Standort: marktheidenfeld
Mitglied seit: 12.07.07
Re: Empfehlungen für meine Umgebung
Antwort #2 - 13.07.07 um 11:00:35
Beitrag drucken  
Hallo!

Die Leitungen sind meistens mit 2MBit SDSL angebunden. Nur in seltenen Fällen werden schwächere Leitungen verwendet...sprich, wenn SDSL nicht verfügbar sein sollte. Schwächstes Glied der Kette sollte eine 768kBit light DSL Leitung sein...

Ich werde die integrierte Datenbank nehmen, weil unsere Datenbank eh schon relativ nahe am Limit läuft und daher nicht noch vom WSUS belastet werden soll. Ich bin am überlegen. Zur Auswahl steht ein 2 Jahre alter CAD-Client mit 2000MB Ram und einem XEON-Prozessor und ein Dual-Proz Blade. Beide Rechner haben im Raid 1 knappe 146GB SCSI zur Verfügung. Vielleicht wäre die beste Lösung das Blade für den WSUS zu verwenden und den CAD-Rechner für den Replikatserver?? Wieviele Replikatserver würdest Du bei 1500 Clients empfehlen?
Den AD-Importer werde ich gleich mal testen...mal schaun ob das so toll funktioniert wie von MS beschrieben... Durchgedreht

Die Serversysteme werde ich nicht vom WSUS beschicken lassen. Das ist mir ehrlich gesagt zu heiß. Bei mir werden sämtliche Updates/Hotfixes vor dem Einsatz auf einem produktiven Server auf stabilität und alltagstauglichkeit geprüft. Erst wenn ich mir sicher bin, daß da nichts schief läuft wird da in der Produktivumgebung installiert...
Bei den Clients habe ich vor eine Computergruppe TEST einzurichten in welche ich zwei oder drei verschiedene Clients laufen lasse, die einfach dafür da sind die zuerst mit Updates zu versorgen und sollte da alles klappen, rolle ich die Patches im Unternehmen aus. Was hälst Du davon? Wie gehst Du sicher, daß nicht irgend ein Patch irgendwas abschiesst?
Letztes Beispiel war anfang letzen Jahres als sämtliche Datenbankclients auf einmal nicht mehr connecten konnten aufgrund eines Sicherheitsupdates...seid dem bin ich sehr vorsichtig geworden wenns um sowas geht... Zwinkernd

MFG
Der Eisenmann
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Empfehlungen für meine Umgebung
Antwort #3 - 13.07.07 um 11:18:50
Beitrag drucken  
eisenmann schrieb on 13.07.07 um 11:00:35:
Die Leitungen sind meistens mit 2MBit SDSL angebunden. Nur in seltenen Fällen werden schwächere Leitungen verwendet...sprich, wenn SDSL nicht verfügbar sein sollte. Schwächstes Glied der Kette sollte eine 768kBit light DSL Leitung sein...


Das sollte wohl dick ausreichen. Zwinkernd

eisenmann schrieb on 13.07.07 um 11:00:35:
Ich werde die integrierte Datenbank nehmen, weil unsere Datenbank eh schon relativ nahe am Limit läuft und daher nicht noch vom WSUS belastet werden soll. Ich bin am überlegen.


Ich bin mir nicht ganz sicher, AFAIK hat interne eine Grenze von 4 GB pro DB. Da werden zwar nur die Metadaten gespeichert, wenig ist das aber trotzdem nicht.


eisenmann schrieb on 13.07.07 um 11:00:35:
Zur Auswahl steht ein 2 Jahre alter CAD-Client mit 2000MB Ram und einem XEON-Prozessor und ein Dual-Proz Blade. Beide Rechner haben im Raid 1 knappe 146GB SCSI zur Verfügung. Vielleicht wäre die beste Lösung das Blade für den WSUS zu verwenden und den CAD-Rechner für den Replikatserver?? Wieviele Replikatserver würdest Du bei 1500 Clients empfehlen?


Yepp, das könntest Du so machen. Je nach Anzahl der Clients in den anderen Standorten (WAN) und wenn Du die Möglichkeit hast, würde ich dort auch einen WSUS plazieren. Der kann ja zusätzlich auf einem schon vorhandenen Server laufen. Ob die Server vor Ort das vertragen, mußt Du selbst wissen und entscheiden. Dann hättest Du den Haupt-WSUS ja schon mal etwas entlastet. Ich würde sogar an insgesamt 3 - 4 WSUS Server denken, pro Server ca. 500 Clients. Oder nach Standorten (AD)/Stockwerken/Gebäudeteilen das ganze aufteilen.

eisenmann schrieb on 13.07.07 um 11:00:35:
Den AD-Importer werde ich gleich mal testen...mal schaun ob das so toll funktioniert wie von MS beschrieben... Durchgedreht


Yepp mach das und sag bitte Bescheid, ich habs selbst noch nicht probiert.

eisenmann schrieb on 13.07.07 um 11:00:35:
Die Serversysteme werde ich nicht vom WSUS beschicken lassen. Das ist mir ehrlich gesagt zu heiß. Bei mir werden sämtliche Updates/Hotfixes vor dem Einsatz auf einem produktiven Server auf stabilität und alltagstauglichkeit geprüft. Erst wenn ich mir sicher bin, daß da nichts schief läuft wird da in der Produktivumgebung installiert...


Das kannst Du natürlich halten wie Du möchtest, ich hatte nur beschrieben, wie es bei mir eingerichtet ist. Zwinkernd

eisenmann schrieb on 13.07.07 um 11:00:35:
Bei den Clients habe ich vor eine Computergruppe TEST einzurichten in welche ich zwei oder drei verschiedene Clients laufen lasse, die einfach dafür da sind die zuerst mit Updates zu versorgen und sollte da alles klappen, rolle ich die Patches im Unternehmen aus. Was hälst Du davon?


Das mit einer Testgruppe ist ok, nur sind dafür 2 oder 3 Clients nicht zu wenig? Oder sind wirklich alle 1500 Clients vollkommen gleich?


eisenmann schrieb on 13.07.07 um 11:00:35:
Wie gehst Du sicher, daß nicht irgend ein Patch irgendwas abschiesst?


Ehrlich? Try and Error. Bei mir ist das ganze etwas übersichtlicher, ca. 80 Clients hier im Haus, 21 auf 2 Standorte verteilt und knapp 50 vom Außendienst. Die Clients haben eigentlich nichts exotisches installiert, bis auf ein paar Ausnahmen, aber die haben wir auch im Griff. Zwinkernd

eisenmann schrieb on 13.07.07 um 11:00:35:
Letztes Beispiel war anfang letzen Jahres als sämtliche Datenbankclients auf einmal nicht mehr connecten konnten aufgrund eines Sicherheitsupdates...seid dem bin ich sehr vorsichtig geworden wenns um sowas geht... Zwinkernd


Du hast schon Recht, wenn Du dabei vorsichtig ans Werk gehst, Übermut tut selten gut. Zwinkernd
  
Zum Seitenanfang
 
eisenmann
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Standort: marktheidenfeld
Mitglied seit: 12.07.07
Re: Empfehlungen für meine Umgebung
Antwort #4 - 13.07.07 um 11:33:17
Beitrag drucken  
Hallo Sunny!
Danke für die schnelle Antwort. Na dann werde ich erst mal in jeden von unseren Serverräumen einen WSUS reinstellen. Dann wäre auch die Redundanz bei Brand und Stromausfall gegeben.
Mit der Datenbank werde ich mal schaun wie groß das ganze wird. Wenns sich in Grenzen hält nehme ich das embedded SQL...ansonsten muss ich mir was überlegen...aber nochmal Geld in Höhe eines Kleinwagens zu investieren um einen SQL hochzubauen werde ich wohl kaum genehmigt bekommen...Durchgedreht
Ich sage hier selbstverständlich bescheid sobald ich das AD-Tool getestet habe. Mal schaun obs klappt!
Ich denke, daß 2 bis 3 Clients wohl langen würden. Die Software und Betriebssysteme sind eigentlich relativ identisch. Lediglich CAD oder ähnliches und natürlich die unterschiedliche Hardware muss beachtet werden. Vielleicht werde ich mir auch einfach eine weniger kritische Abteilung als Versuchskaninchen hernehmen...mal schaun.

Mir ist noch eine Frage eingefallen. Was muss eigentlich beim WSUS gebackuped werden? Nur die Datenbank, oder? Der Content wäre wohl schnell wieder gesaugt, oder?
Wie machst Du das Backup vom WSUS?

MFG
Der Eisenmann
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Empfehlungen für meine Umgebung
Antwort #5 - 13.07.07 um 11:46:57
Beitrag drucken  
eisenmann schrieb on 13.07.07 um 11:33:17:
Danke für die schnelle Antwort. Na dann werde ich erst mal in jeden von unseren Serverräumen einen WSUS reinstellen. Dann wäre auch die Redundanz bei Brand und Stromausfall gegeben.


Genau. Zwinkernd

eisenmann schrieb on 13.07.07 um 11:33:17:
Mir ist noch eine Frage eingefallen. Was muss eigentlich beim WSUS gebackuped werden? Nur die Datenbank, oder? Der Content wäre wohl schnell wieder gesaugt, oder?


Bei der Masse an Clients ist die Datenbank interessant und natürlich auch das Contentverzeichnis, je nach Grösse. Da Du aber wohl eine *vernünftige* Anbindung ans INET hast, kannst Du das ja auslassen. Zwinkernd

eisenmann schrieb on 13.07.07 um 11:33:17:
Wie machst Du das Backup vom WSUS?


Gar nicht. Der WSUS läuft bei mir auf einem TSM (Tivoli Storage Manager), wenn der ausfällt, hab ich ganz andere Probleme, da ist der WSUS das kleinste übel. Zwinkernd
  
Zum Seitenanfang
 
eisenmann
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Standort: marktheidenfeld
Mitglied seit: 12.07.07
Re: Empfehlungen für meine Umgebung
Antwort #6 - 13.07.07 um 11:53:19
Beitrag drucken  
Hi sunny!

Eigentlich gar keine schlechte Idee...dann lege ich die Datenbank einfach auf die SAN-EMC²-Kiste....dann muss ich mir erstens keine Gedanken ums Backup, zweitens keine Gedanken um den Plattenplatz und drittens keine Gedanken um Ausfallsicherheit machen...
Danke für den Denkanstoss und sollte man sich heute nicht mehr hören, sehen oder lesen ein schönes Wochenende!

MFG
Der Eisenmann, der jetzt in seinem Testlabor verschwindet um den WSUS noch ein wenig aus der Reserve zu locken...Zwinkernd
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Empfehlungen für meine Umgebung
Antwort #7 - 13.07.07 um 13:11:06
Beitrag drucken  
Na dann viel Erfolg!

Es wäre schön, wenn Du in nächster Zeit einfach mal ein bisschen berichtest. Wieviele Clients auf welchem Server, welche Auslastung Prozessor und ähnliches. Wieviele WSUS insgesamt und so weiter. Du verstehst? Zwinkernd Mich würde es einfach interessieren, wie das mit so vielen Clients läuft.

Schönes WE auch. Zwinkernd
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden