Hallo,

ich habe folgendes vor umzusetzen und möchte gerne dazu Meinungen hören bzw. gerne wissen ob das alles Sinn macht.

Grundidee:
Meinen bestehenden WSUS ablösen (ca. 400 Clients) Migration? auf Server 2012 WSUS Rolle.
Der Knackpunkt ist das ich zum einen den WSUS in Zukunft intern im Produktivnetz betrieben möchte und extern in der DMZ. Der externe Zugriff soll deshalb erfolgen weil ich CLients, die länger kein VPN aufbauen, sich diese Updates, welche verwaltet werden, online direkt über das internet vom WSUS holen können.
Das bedeutet der WSUS müsste im Internet über den gleichen Namen erreichbar sein wie intern.
Jetzt ist nur die Frage ob man zwei WSUS-Server nimmt oder nur einen intern und diesen nach außen erreichbar macht. Und ob das Konzept keinen Sinn macht auch die Sicherheitsfrage ist ein Thema. Vielleicht gibt es da auch eine schöne alternative ?
Bin da was die Umsetzung betrifft ratlos...vielleicht kann mich da jemand mal aufklären was er machen würde?
vielen Dank im vorraus!!

Hi, Sunny vielen Dank für deine Antwort!
Also ich muss nicht zwei WSUS Server aufsetzen will ich eigentlich auch gar nicht. Aber das ich Dich jetzt richtig verstehe ich soll dem Client sagen er soll Updates direkt abholen und dann an den WSUS melden? Macht das denn Sinn? also ich möchte unbedingt bestimmen welches Update der Client bekommt daher geht direkt von MS gar nicht.
Also ich würde schon gerne nur ein WSUS aufsetzen aber ist das gernerell jetzt schon nicht empfehlenswert?
Was macht denn der Rest der Welt in solchen Fällen mit den MS Updates ?

dreamslider schrieb on 25.03.13 um 10:52:53:


Doch, 2 WSUS brauchst Du natürlich. Einer steht intern, der zweite in der DMZ.

dreamslider schrieb on 25.03.13 um 10:52:53:


Deshalb brauchst Du ja einen zweiten WSUS, bei dem melden sich die Clients und holen sich die Genhmigungen ab. Und direkt bei MS holen sie sich die Updates.

dreamslider schrieb on 25.03.13 um 10:52:53:


Nein, ich würde schon mit 2 WSUS arbeiten, denn Du kannst das ansonsten nicht so einstellen wie Du möchtest. Pro WSUS gibt es nur eine Option. Schau doch mal selbst in den Optionen vom WSUS nach, dann weißt Du was ich meine.

Was die Welt macht weiß ich nicht, bei 400 Clients kann ich mir vorstellen dass es SMS oder System Center gibt, die arbeiten etwas anders.

dreamslider schrieb on 25.03.13 um 12:01:41:


Keine Ahnung, ich habe mit dem Produkt noch nicht gearbeitet. Da mußt auf Antworten von anderen warten.

kk schrieb on 03.04.13 um 11:05:23:



Eine weitere Variante wäre DirectAccess: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

kk schrieb on 04.04.13 um 13:55:56:


Weshalb ist W7 Enterprise eine Hürde? Wegen des Preises? Was kostet der Firmenwagen, der alle 3 Jahre neu angeschafft wird? Sorry, aber ich kann das Gejammer um den Preis nicht mehr hören. Ist nicht gegen dich, aber da wird IMHO an der falschen Stelle gespart.

Welches waren die weiteren Hürden?


kk schrieb on 04.04.13 um 13:55:56:



Nein, mir sind keine bekannt. Aber Oliver Sommer, auch ein MVP, richtet das wohl häufiger ein und war sehr begeistert. Denn mit W2012 soll es noch einfacher sein.

Ich hatte das bei einer Technet Veranstaltung gesehen und war gleich ziemlich begeistert davon, denn wenn ein Benutzer nicht mehr eingreifen muss, auch kein 3rd Party Dienst notwendig ist, dann sehe ich das als positiv an.


kk schrieb on 04.04.13 um 13:55:56:


Bei DirectAccess hast Du auch noch vor dem Login Zugriff auf das Firmennetzwerk.

Mit Windows Server 2012 ist die Einrichtung und Konfiguration noch einfacher geworden. Schau dir das kleine HowTo von Frank Carius an: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Ich habe es wirklich nur überflogen, aber ich bin der Meinung, man kann es ausprobieren.

Und zu den alten Lizenzen, sicherlich müssen die getauscht werden, aber man muß das ja nicht gleich über das Knie brechen. Ein bisschen testen, wenn es einwandfrei funktioniert und der Vorstand begeistert ist davon, wird auch das Bugdet dafür zur Verfügung gestellt. Und die Benutzer würde es sicherlich auch freuen.

dreamslider schrieb on 28.05.13 um 10:00:34:


Doch, das geht. Hatten wir erst kürzlich hier im Forum: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
Alternativ auch im Technet Forum: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

dreamslider schrieb on 28.05.13 um 10:00:34:



Die Anbindung an den WSUS kannst Du selbstverständlich über SSL machen, Port 443 oder 8531 steht zur Verfügung.

Dieser Link ist auch nicht ganz unwichtig: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Dann funktioniert das mit dem DNS nicht mehr so, wie oben angesprochen. Dazu müsstest Du dir dann SAN-Zertifikate ausstellen, dann könnte es funktionieren. Ich hatte vor in naher Zukunft dazu ein kleines HowTo zu erstellen, momentan war noch keine Zeit dazu. Wenn Du es umsetzen kannst, könntest Du auch gleich ein HowTo dazu schreiben und hier veröffentlichen.

Was auch nicht funktionieren wird, ist nur eine Datenbank für 2 WSUS zu haben. Der Replica WSUS in der DMZ repliziert ja seine Daten zum Master WSUS ins LAN, also reicht es IMHO aus, nur diese SUSDB zu sichern, die andere kannst Du ja jederzeit wieder neu erstellen lassen. Am besten solltest Du das in einem Testbereich sauber aufsetzen und gut testen, ansonsten könnte das schnell nach hinten losgehen.

.

dreamslider schrieb on 27.06.13 um 15:49:45:

Passen die Zugriffsrechte oder passen sie eventuell?
In der technischen Referenz findest Du (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). die Berechtigungen für die WSUS-Verzeichnisse. Auch die IIS-Settings sind wichtig: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Kontrollier alle NTFS-Berechtigungen haarklein genau durch, falls nötig einen Restart vom Server ausführen.
Blockt Deine Firewall?

dreamslider schrieb on 24.07.13 um 08:57:03:


Na wenigstens etwas.

dreamslider schrieb on 24.07.13 um 08:57:03:



Wenn die Fehlermeldungen aus dem Eventlog und/oder der SoftwareDistribution.log auf dem WSUS in %programfiles%\Update Services\Logs nicht geheim sind, dann poste sie hier doch. Du hast alle WSUS mit dem letzten Update aus der WSUS-FAQ No. 44 beglückt? Wenn nein, hol das nach und starte alle betroffenen WSUS anschließend neu durch. Erst jetzt die Replikation prüfen.

dreamslider schrieb on 24.07.13 um 09:48:45:


OK.

dreamslider schrieb on 24.07.13 um 09:48:45:


Was ist auf dem Master WSUS in den Optionen für Berichterstattungsrollup angehakt? Die erste Option sollte angehakt sein, dann siehst Du die Computer der Replikat WSUS Server auch auf dem Master.

dreamslider schrieb on 24.07.13 um 12:59:53:



oh habe mich falsch ausgedruckt sichtbar sind sie ja nur man kann die Mitgliedschaft auf dem Master nicht ändern

Sunny schrieb on 24.07.13 um 13:51:08:



ok aber auf dem Master müsste ich diese doch zumindest sehen oder?

Sunny schrieb on 24.07.13 um 14:59:20:



ok bevor es jetzt verwirrt
Ich sehe sie auf dem Replikat aber auf dem Master nur in nicht zugewiesen. Wo ich diese aber nicht ändern kann. Wenn ich diese dann auf dem Replikat ändere sehe ich diese nicht mehr innerhalb der gruppen wo sie sein sollten.

Sunny schrieb on 24.07.13 um 16:16:47:



Hi, jo stimmt hat echt jetzt nen halben Tag gedauert jetzt passt alles.
Vielleicht noch eine kleine Frage was die Verwaltungskonsole betrifft ich komme von der Serviceconsole Prod-Netzt WSUS nicht auf den DMZ WSUS obwohl 8530 und 8531 frei ist....bneutzt diese Konsole noch einen anderen Port?

Sunny schrieb on 25.07.13 um 13:19:03:


Bitte bitte ich habe mich ja zu bedanken

Nein der Port 80 und 443 funktioniert ebenfalls nicht

Sunny schrieb on 27.07.13 um 12:11:35:



Nein nein, der Master in einem Prodouktivnetz mit Domäne und das Replikat in einer DMZ.
Die Ports 8530-8531 wurden aber geöffnet.

Sunny schrieb on 29.07.13 um 10:32:55:



Ja per RDP komme ich ja auch drauf nur total umständlich sich jedesmal dorthin zu verbinden in einer Konsole wärs schon besser