Heißes Thema (mehr als 10 Antworten) Verständniss Probleme GPO / WSUS / AD (Gelesen: 3954 mal)
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Verständniss Probleme GPO / WSUS / AD
03.01.08 um 10:49:41
Beitrag drucken  
hallo zusammen

...finde über die suche leider nichts passendes....  Traurig

erstmal zur vorgeschichte:

ich habe hier in dieser neuen umgebung anfangs dezember angefangen und den wsus übernommen.
dieser war noch auf der version 2.0 und seit anfangs november von niemandem mehr betreut worden.
also höchste zeit etwas daran zu machen. als erstes habe ich wsus selbst mal auf die version 3.0 upgedatet was ohne probleme funktioniert hat.
die probleme mit der datenbank habe ich bereits in einem ander thread behoben.

nun würde es an die anpassung der einstellungen und das verteilen der anstehenden updates gehen.
doch leider blicke ich da einfach nicht durch, verstehe das von meinem vorgänger aufgesetzte verhalten der updates nicht ganz.

oder anders gesagt ich blicke da einfach nicht durch wie die sachen zusammenhängen. (hatte länger nichts mit GPO und AD zu tun  unentschlossen)

konkret:

was ist der vorteil wenn ich den wsus über AD und GPO steuere?

ich hab ne menge screenshots angehängt und bin allen dankbar die mir da etwas auf die sprünge helfen können wie die ganzen sachen zusammenhängen.
falls jemand noch screen's braucht -> einfach melden  Zwinkernd

vielen dank schon mal an alle
blicke da irgendwie voll nicht durch  unentschlossen

(wie kann ich mehrere anhänge einfügen??)  unentschlossen
  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). UpdateServiceKonsoleUebersicht.jpg (Anhang gelöscht)

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #1 - 03.01.08 um 10:50:15
Beitrag drucken  
..
  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). GPOStandardNB.jpg (Anhang gelöscht)

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #2 - 03.01.08 um 10:50:39
Beitrag drucken  
..
  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). GPOWSUSAlleUpodatesServer.jpg (Anhang gelöscht)

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #3 - 03.01.08 um 10:51:06
Beitrag drucken  
..
  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). ADUebersicht.jpg (Anhang gelöscht)

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #4 - 03.01.08 um 11:14:01
Beitrag drucken  
mamoch schrieb on 03.01.08 um 10:49:41:
oder anders gesagt ich blicke da einfach nicht durch wie die sachen zusammenhängen. (hatte länger nichts mit GPO und AD zu tun  unentschlossen)


(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). hilft beim verstehen vielleicht. Zwinkernd


mamoch schrieb on 03.01.08 um 10:49:41:
was ist der vorteil wenn ich den wsus über AD und GPO steuere?


Moment, Du steuerst nicht den WSUS über AD + GPO, sondern die Clients und deren Verhalten. Was ist der Vorteil an einer GPO? Richtig, zentrale Verwaltung der Einstellungen und Vorgaben. Und die User können sich nicht wehren.

mamoch schrieb on 03.01.08 um 10:49:41:
ich hab ne menge screenshots angehängt und bin allen dankbar die mir da etwas auf die sprünge helfen können wie die ganzen sachen zusammenhängen.


Das sieht schon recht sauber und ordentlich aus. 2 verschiedene GPOs für Server + Clients. Du könntest noch die beiden erforderlichen Dienste: Automatische Updates + Intelligenter Hintergrundübertragungsdienst via GPO steuern: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
Einfach in die WSUS-GPO hinzufügen, läuft wie blöd. Zwinkernd

Ebenfalls ist für die User auf den Clients (nicht den Admin auf den Servern einschließen) zu empfehlen, die Benutzerkonfig zu aktivieren:  Zugriff auf alle Windows Update Funktionen entfernen.
Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

Viel wichtiger ist allerdings die Frage, wie weit willst Du die Updates automatisch an die Clients/Server verteilen? Dazu gibts in den Optionen viele Möglichkeiten: Automatische Genehmigungen.
  
Zum Seitenanfang
 
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #5 - 03.01.08 um 13:09:55
Beitrag drucken  
Sunny schrieb on 03.01.08 um 11:14:01:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). hilft beim verstehen vielleicht. Zwinkernd


ok werde ich mir wohl mal zu gemüte führen müssen...  unentschlossen

Sunny schrieb on 03.01.08 um 11:14:01:
Das sieht schon recht sauber und ordentlich aus. 2 verschiedene GPOs für Server + Clients. Du könntest noch die beiden erforderlichen Dienste: Automatische Updates + Intelligenter Hintergrundübertragungsdienst via GPO steuern: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
Einfach in die WSUS-GPO hinzufügen, läuft wie blöd. Zwinkernd


das lass ich vorerst mal lieber alles so wie es ist !!

Sunny schrieb on 03.01.08 um 11:14:01:
Ebenfalls ist für die User auf den Clients (nicht den Admin auf den Servern einschließen) zu empfehlen, die Benutzerkonfig zu aktivieren:  Zugriff auf alle Windows Update Funktionen entfernen.
Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

Viel wichtiger ist allerdings die Frage, wie weit willst Du die Updates automatisch an die Clients/Server verteilen? Dazu gibts in den Optionen viele Möglichkeiten: Automatische Genehmigungen.


brrr das lass ich vorerst wohl mal auch alles so wie es ist.


für mich wäre folgendes zuerst mal wichtig zu wissen.

was muss ich machen damit meine testgruppe die updates die ich
freigebe bekommen?
(tönt doof aber hab da irgendwie keinen plan von ....   unentschlossen)

wenn ich also die clients in der gruppe test ändern möchte
muss ich dies über ???? machen ??

hmm ich seh scho....irgenwie sind meine "löcher" zu gross und ich
muss wohl ganz wo anders anfangen....

die dokus im web sind leider alle so geschrieben ohne die GPO und
AD sachen also die verwaltung läuft ganz über den WSUS.

ist das einfacher in der administration? wenn ich von AD und GPO wenig ahnung habe?

aaaaaaaaaahhhhhhhhhhhh      unentschlossen
  

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #6 - 03.01.08 um 14:05:22
Beitrag drucken  
mamoch schrieb on 03.01.08 um 13:09:55:
das lass ich vorerst mal lieber alles so wie es ist !!


Warum fragst Du dann, wenn Du eh nix ändern/verbessern willst? Zwinkernd


mamoch schrieb on 03.01.08 um 13:09:55:
brrr das lass ich vorerst wohl mal auch alles so wie es ist.


Siehe oben. Dafür gibts Testaccounts um ein Gefühl zu bekommen.


mamoch schrieb on 03.01.08 um 13:09:55:
für mich wäre folgendes zuerst mal wichtig zu wissen.

was muss ich machen damit meine testgruppe die updates die ich
freigebe bekommen?
(tönt doof aber hab da irgendwie keinen plan von ....   unentschlossen)


Von welcher Gruppe sprechen wir? Testgruppe mit Mitgliedern auf dem WSUS oder TestOU mit Mitgliedern im AD?

Wenn WSUS: Update(s) markieren > Rechtsklick > Genehmigen > im jetzt erscheinenden Fenster kannst Du die Updates nur für bestimmte Gruppen freigeben oder eben auch für alle Computer.

mamoch schrieb on 03.01.08 um 13:09:55:
wenn ich also die clients in der gruppe test ändern möchte
muss ich dies über ???? machen ??


Ich geh jetzt mal vom WSUS aus. Rechtsklick auf einen Client und Mitgliedschaft ändern wählen.

mamoch schrieb on 03.01.08 um 13:09:55:
hmm ich seh scho....irgenwie sind meine "löcher" zu gross und ich
muss wohl ganz wo anders anfangen....
die dokus im web sind leider alle so geschrieben ohne die GPO und
AD sachen also die verwaltung läuft ganz über den WSUS.


Versuchs mal mit der hier: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).


mamoch schrieb on 03.01.08 um 13:09:55:
ist das einfacher in der administration? wenn ich von AD und GPO wenig ahnung habe?

aaaaaaaaaahhhhhhhhhhhh      unentschlossen


Nein, es ist natürlich viel einfacher alles via AD + GPO zu steuern. Die WSUS-GPO erstellst Du normalerweise einmal und änderst sie nur ab, wenn sich der Servernamen oder etwas anderes ändert. Den Rest macht man komplett auf dem WSUS.
  
Zum Seitenanfang
 
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #7 - 03.01.08 um 14:20:57
Beitrag drucken  
doch doch es wird dann schon geändert und verbessert aber
immer alles zu seiner zeit... ich bin ein schweizer und da geht alles etwas langsamer  Laut lachend

also meine jetzige aufgabe dich ich mir gestellt habe ist die clients in der testgruppe (WSUS) zu entfernen und meinen notebook wie meine virtueller pc in diese gruppe zu nehmen um das verteilen irgendwie testen zu können.

doch kann ich die zugehörigkeit gar nicht ändern, da dies grau hinterlegt ist.... ??

ich überleg da sicher schon wieder was falsch....  unentschlossen

ich möchte nicht mit dieser testgruppe arbeiten da diese clients eh
dafür nicht geeignet sind, wenn ich dann herausgefunden habe wie das ganze miteinander spielt kommen andere clients in diese testgruppe.

das wir vom selben reden. screenshot....

  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). UpdateServiceMitgliedschaft.jpg (Anhang gelöscht)

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #8 - 03.01.08 um 15:24:57
Beitrag drucken  
hmmmm ok hab's geschnallt, ich muss die clients im active directory
rumschieben.

beim betrachten ist mir aber aufgefallen das dort ein client in der WSUS liste fehlt die im AD aber in dieser (test)- gruppe vorhanden ist... ??

unentschlossen
...und da soll noch einer nachkommen....  Schockiert/Erstaunt

  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). UpdateServiceClientFehlt.jpg (Anhang gelöscht)

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #9 - 03.01.08 um 15:51:43
Beitrag drucken  
mamoch schrieb on 03.01.08 um 14:20:57:
doch doch es wird dann schon geändert und verbessert aber
immer alles zu seiner zeit... ich bin ein schweizer und da geht alles etwas langsamer  Laut lachend


OK, das erklärt alles. Zwinkernd


mamoch schrieb on 03.01.08 um 14:20:57:
also meine jetzige aufgabe dich ich mir gestellt habe ist die clients in der testgruppe (WSUS) zu entfernen und meinen notebook wie meine virtueller pc in diese gruppe zu nehmen um das verteilen irgendwie testen zu können.

doch kann ich die zugehörigkeit gar nicht ändern, da dies grau hinterlegt ist.... ??


WSUS > Optionen > Computer. Hier stellst Du temporär um. Dann kannst Du verschieben.

Lies dir doch mal das HowTo durch, besser, drucks aus, dann haste immer was zu nachlesen. Zwinkernd
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #10 - 03.01.08 um 15:53:09
Beitrag drucken  
mamoch schrieb on 03.01.08 um 15:24:57:
hmmmm ok hab's geschnallt, ich muss die clients im active directory
rumschieben.


Nein, das geht auch im WSUS > Optionen > Computer.

mamoch schrieb on 03.01.08 um 15:24:57:
beim betrachten ist mir aber aufgefallen das dort ein client in der WSUS liste fehlt die im AD aber in dieser (test)- gruppe vorhanden ist... ??


Dann schau dir auf dem Client die WindowsUpdate.log an. Dort findest Du die Fehlermeldungen.
  
Zum Seitenanfang
 
mamoch
WSUS Junior Member
*
Offline


es ist nicht immer einfach....

Beiträge: 26
Standort: Bern
Mitglied seit: 27.12.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #11 - 04.01.08 um 08:27:37
Beitrag drucken  
aaaalllso so langsam gibt's etwas licht ins dunkel:  Augenrollen

ich habe nun auf der WSUS konsole unter computers - general die settings auf "use the update service console" eingestellt so das ich die gruppen
direkt im wsus verwalten kann, was auch supi funktioniert.

sehe ich das richtig das ich dort gruppen erstellen kann (meine testgruppe, gruppen pro stockwerk z.B.) clients verschieben usw.. und dies keine auswirkungen hat auf das AD ?

die gruppen im AD werden von den policy's gesteuert und werden NUR verwendet um dem WSUS server zu sagen WIE die updates bei den
entsprechenden gruppen appliziert werden...

so kann ich als eine gruppe mit dem namen z.B. "pilotgruppe" erstellen, meinen virtuellen pc dort hinzufügen und updates auf diesen freigeben.
die updates werden dann so installiert wie das in der policy
angegeben ist.

stimmt das so in etwa ??
  

vielen dank schon mal für eure hilfe!    gruss mamo
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Verständniss Probleme GPO / WSUS / AD
Antwort #12 - 04.01.08 um 09:22:38
Beitrag drucken  
mamoch schrieb on 04.01.08 um 08:27:37:
sehe ich das richtig das ich dort gruppen erstellen kann (meine testgruppe, gruppen pro stockwerk z.B.) clients verschieben usw.. und dies keine auswirkungen hat auf das AD ?


Richtig.

mamoch schrieb on 04.01.08 um 08:27:37:
die gruppen im AD werden von den policy's gesteuert und werden NUR verwendet um dem WSUS server zu sagen WIE die updates bei den
entsprechenden gruppen appliziert werden...


Nein, die Clients bekommen den WSUS und die Einstellungen aus der GPO. Wie die GPO aussieht ist Deine Sache. Auf dem WSUS plazierst Du die Clients in eigene Gruppen, die Updates kannst Du dann natürlich nur für diese Gruppen zum installieren freigeben. Das hat mit dem AD nichts zu tun.


mamoch schrieb on 04.01.08 um 08:27:37:
so kann ich als eine gruppe mit dem namen z.B. "pilotgruppe" erstellen, meinen virtuellen pc dort hinzufügen und updates auf diesen freigeben.
die updates werden dann so installiert wie das in der policy
angegeben ist.


Richtig. Zwinkernd
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden