Heißes Thema (mehr als 10 Antworten) WSUS - Notebooks (Gelesen: 4002 mal)
theo61
WSUS Full Member
**
Offline



Beiträge: 74
Mitglied seit: 09.07.09
Geschlecht: männlich
WSUS - Notebooks
15.01.15 um 15:44:31
Beitrag drucken  
Hallo,
bei uns im Unternehmen nimmt die Anzahl der Notebooks und Tablets stetig zu.
Standardmäßig sind alle Geräte per GPO so eingestellt, dass sie die Updates vom WSUS-Server ziehen. Bei den Teilen, die dann vorwiegend fern vom LAN draußen herumgeistern, bedeutet das, dass sie keine Updates mehr bekommen. Es sei denn, die Nutzer gehen da selbst hin und klicken selbst auf "online nach Updates suchen" - was dem Normalo-User natürlich nicht zuzumuten ist. Gibt es hier irgendwelche Best Practices, wie so etwas zu händeln ist oder bleibt nur die Bastellösung mit Regschlüssel rauslöschen oder so?
VG Theo61
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #1 - 15.01.15 um 16:55:58
Beitrag drucken  
Es gibt schon die ein oder andere Möglichkeit. Wählen sich die Mitarbeiter denn per VPN in die Firma ein? Wenn ja, dann könntest Du dich an diesen Part anhängen und ein wuauclt /detectnow absetzen. Damit wird der WSUS angetriggert und falls Updates vorhanden sind, wird auch der Download angetriggert.

BTW: In diesem Zusammenhang ist DirectAccess sicherlich eine gute Technolgie um das umzusetzen. Zwinkernd

Du kannst natürlich auch einen zweiten WSUS aufsetzen, dem gibst Du in den Optionen mit, dass sich die Clients bei MS selbst downloaden was Du genehmigt hast. Dazu müssen sie natürlich auch einmal mindestens sich mit dem WSUS in Verbindung setzen.

Die dritte Möglichkeit ist einen WSUS in die DMZ zu setzen, oder direkt aus dem Internet erreichbar machen. Dann gibst Du den Clients diesen WSUS mit und genehmigst dort die Updates für die mobilen Clients. Natürlich sollte die Kommunikation zwischen diesem WSUS und der Clients nur verschlüsselt ablaufen. (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
theo61
WSUS Full Member
**
Offline



Beiträge: 74
Mitglied seit: 09.07.09
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #2 - 26.01.15 um 15:32:24
Beitrag drucken  
Danke für die Tipps. Ist natürlich recht aufwendig; mir reicht der eine WSUS schon völlig ...
Wie müsste ich den WSUS konfigurieren, dass der Client am Ende die Updates doch direkt holt und nicht am WSUS? Ist mir noch nie aufgefallen, dass es eine solche Option gibt.
Dachte immer, dass das ne reine Clienteinstellung ist.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #3 - 26.01.15 um 16:11:35
Beitrag drucken  
theo61 schrieb on 26.01.15 um 15:32:24:
Wie müsste ich den WSUS konfigurieren, dass der Client am Ende die Updates doch direkt holt und nicht am WSUS? Ist mir noch nie aufgefallen, dass es eine solche Option gibt.
Dachte immer, dass das ne reine Clienteinstellung ist.


Nix Clienteinstellung. WSUS > Optionen > Updatedateien- und Sprachen anklicken und staunen. Zwinkernd
  
Zum Seitenanfang
 
theo61
WSUS Full Member
**
Offline



Beiträge: 74
Mitglied seit: 09.07.09
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #4 - 27.01.15 um 13:16:03
Beitrag drucken  
Staun!
Die Option hätte ich jetzt allerdings so nicht interpretiert. Würde das so verstehen, dass am Client trotzdem der WSUS gesucht wird und nur bei Verbindung mit diesem zu MS "durchgeroutet" wird. Bei Betrieb außerhalb der Erreichbarkeit des WSUS würde der Client dann wieder nix mehr tun.
Ich kanns ja mal testen ...



  
Zum Seitenanfang
 
theo61
WSUS Full Member
**
Offline



Beiträge: 74
Mitglied seit: 09.07.09
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #5 - 27.01.15 um 13:42:01
Beitrag drucken  
Habs jetzt übrigens erst mal so gelöst, dass über ein Anmeldescript (bzw. über einen Runkey) mittels IPCONFIG geschaut wird, was für eine IP der Client gezogen hat. Ist dies eine interne IP, wird eine Reg-datei importiert, die WSUS aktiviert. Ist es eine IP außerhalb unseres Netzes, wird der WSUS-Key wieder gelöscht. Geht auch ...
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #6 - 27.01.15 um 15:34:33
Beitrag drucken  
theo61 schrieb on 27.01.15 um 13:16:03:
Staun!
Die Option hätte ich jetzt allerdings so nicht interpretiert. Würde das so verstehen, dass am Client trotzdem der WSUS gesucht wird und nur bei Verbindung mit diesem zu MS "durchgeroutet" wird. Bei Betrieb außerhalb der Erreichbarkeit des WSUS würde der Client dann wieder nix mehr tun.


Tja, das ist eben genau für diesen einen Fall, in dem die Benutzer selten in der Firma sind und deshalb dann die vom Admin genehmigten Updates direkt von MS holen. Zwinkernd
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #7 - 27.01.15 um 15:35:50
Beitrag drucken  
theo61 schrieb on 27.01.15 um 13:42:01:
Habs jetzt übrigens erst mal so gelöst, dass über ein Anmeldescript (bzw. über einen Runkey) mittels IPCONFIG geschaut wird, was für eine IP der Client gezogen hat. Ist dies eine interne IP, wird eine Reg-datei importiert, die WSUS aktiviert. Ist es eine IP außerhalb unseres Netzes, wird der WSUS-Key wieder gelöscht. Geht auch ...



Gut. Aber wo genau liegt das Script? Kann das der Client auch Offline, also außerhalb der Domain erreichen? Evtl. das Script lokal in einer festen Struktur ablegen und darauf dann zugreifen.
  
Zum Seitenanfang
 
theo61
WSUS Full Member
**
Offline



Beiträge: 74
Mitglied seit: 09.07.09
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #8 - 28.01.15 um 08:30:05
Beitrag drucken  
Ja, das Script liegt lokal. Die Variante hat natürlich den Nachteil, dass der Client dann online alles Mögliche zieht, auch das, was man gar nicht haben will.
Bei der WSUS-Variante ist es aber dann doch so, dass der Client außerhalb des LAN komplett ungepatcht bleiben würde, oder hab ich das immer noch nicht geschnallt?



  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #9 - 28.01.15 um 14:16:06
Beitrag drucken  
theo61 schrieb on 28.01.15 um 08:30:05:
Ja, das Script liegt lokal. Die Variante hat natürlich den Nachteil, dass der Client dann online alles Mögliche zieht, auch das, was man gar nicht haben will.


Richtig.

theo61 schrieb on 28.01.15 um 08:30:05:
Bei der WSUS-Variante ist es aber dann doch so, dass der Client außerhalb des LAN komplett ungepatcht bleiben würde, oder hab ich das immer noch nicht geschnallt?


Nein, der Client holt sich bei MS die Updates, die Du genehmigst. Natürlich muss er kurzzeitig immer wieder eine Verbindung zum WSUS haben, um sich die Genehmigung der Updates zu holen. Anschließend holt er sich die Updates dann direkt bei MS.
  
Zum Seitenanfang
 
theo61
WSUS Full Member
**
Offline



Beiträge: 74
Mitglied seit: 09.07.09
Geschlecht: männlich
Re: WSUS - Notebooks
Antwort #10 - 28.01.15 um 14:55:00
Beitrag drucken  
ok, ich probier das bei Gelegenheit mal aus.
Besten Dank einstweilen!
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden