Hallo liebe Forengemeinde,

da es ja leider keine Möglichkeit gibt schnöden DFS Share als Speicherort für einen WSUS zu nutzen habe ich mir das Whitepaper zu Gemüte geführt und mir meine Gedanken gemacht. Im Prinzip habe ich mir zwei Varianten ausgedacht, wobei die erste sicher überdimensioniert ist.
Leider konnte ich hier auf der Seite für solche Konfigurationen noch nicht viel Informationen finden.

Voraussetzungen:
Für die 3 zu versorgenden Außenstellen im Ausland würden wir sowohl bei Variante 1 als auch bei Variante 2 auf Sub-WSUS setzen. Diese sollen sich die Authentifizierung für die Updates in eutschland holen, jedoch die Updates selbst bei MS erunterladen.

In beiden Konfigurationen würden wir BITS aktivieren und auch auf die Möglichkeit der Express Installation Files setzen um unser Netzwerk und vor allem die Standleitungen unter den Niederlassungen zu schonen.

Variante 1:
Für den Hauptstandort und die Geschäftsstellen in Deutschland richten wir ein WSUS NLB Verbund ein.
Die 2 oder 3 WSUS Server sind hierbei einmal am Standort und dann an den großen Niederlassungen.

Hier nun die ersten Fragen:
- Der Verbund würde über ein VPN mit einer Standleitung zusammengeschalten. Ist dies ohne weiteres machbar?
- Ist es zwingend erforderlich die Updates auf nur einem Share zur Verfügung zu stellen oder kann jeder Server ein eigenes - natürlich synchrones - Share vor Ort haben?
- Muß hier zwingend ein SQL Failover Cluster genutzt werden?

Variante 2:
Nutzung der in den Whitepapern vorgeschlagenen Variante für "Roaming Clients".
Es werden wiederum 2-3 WSUS verteilt, diesmal im Replica Mode und die nötigen DNS Verbiegungen gemacht.
An den Geschäftsstellen ohne eigenen WSUS macht der DNS dann die Verteilung auf die vorhandenen Server.

Nun die nächsten Fragen:
- Wie stark beeinflusst das Netmask Ordering den Regelbetrieb im Netzwerk?
- Was passiert wenn einer der Server nicht erreichbar ist?

Was in meiner Überlegung jedoch noch gar nicht auftaucht ist die Konfiguration eines WSUS in der DMZ, damit die Homeoffice User auch ohne VPN Aufbau ordentlich versorgt werden.
Welche der beiden Szenarien ist hierfür die bessere?

Ich hoffe Ihr könnt mit meinen gedanklichen Ergüssen etwas anfangen 

Gruß
Markus

Hallo,

doch eigentlich schon das NLB des Servers, wird im Whitepaper auch beschrieben.

WSUS in jeder Filiale ist der aktuelle Stand, doch wir wollen Server einsparen.

DNS Verbiegungen für Roaming Clients laut Whitepaper:
- Gleicher Name für die noch überbleibenden WSUS Server
- Im DNS werden für den einen Hostnamen die verschiedenen IP Adressen hinterlegt
- Netmask Ordering und Round Robin werden aktiviert

Ist in einem Standort nun kein WSUS wird die Anfrage per Zufallsprinzip an die bestehenden Server verteilt.
Die bestehenden Server sind dann natürlich als Replika eingerichtet.

Gruß
Markus

Einige tausend im Hauptstandort und sehr unterschiedliche Anzahlen in den Niederlassungen.
Deshalb wollen wir ja die Serveranzahl reduzieren, darunter darf die Qualität aber keinesfalls leiden.

Es werden auch nicht nur Office und Betriebssystem verteilt...

Hallo,

vielen Dank für die Antwort, das Video zum Branch Cache habe ich mir angesehen - doch leider gibt es hier ein Problem da wir noch zu viele Windows XP im Einsatz haben.
Auch sind die sonst im befindlichen Windows 7 Clients nur Professional Versionen und somit nur beschränkt fähig mit Branch Cache zu arbeiten.
Auch würde ja dann sämtlicher Verkehr in den Branch Cache einbezogen und nicht nur der WSUS spezifische Teil, oder kann man hier noch feiner konfigurieren als im Video dargestellt?

Der zentrale WSUS ist virtuell, die anderen sind teilweise eigene virtuelle Maschinen aber in kleinen Geschäftsstellen auch physikalische die auf einem anderen Server mitlaufen.

Es geht uns ja auch nicht um die Last die der Server abkann, sondern um eine Entlastung der Netzwerkstrecken.
Vor allem an kleineren Standorten ist eine gute Anbindung leider nicht gegeben, deshalb zusätzlich noch BITS.

Gibt es eigentlich zur Konfiguration des WSUS mit NLB etwas mehr Informationen als im White Paper?
Auch bei Youtube wurde ich leider nicht fündig, oder ich hab falsch gesucht...

Gruß
Markus

Da war leider das Gehirn schneller als die Finger und hat ein Wort versemmelt. 
Es sollte natürlich heißen: , deshalb zusätzlich noch BITS konfigurieren.

Da liegt das Problem, die User sind Admins und müssen dies auch bleiben.

Zum einen an verschiedener Software und zum anderen weil Software entwickelt wird.
Da es auch so gewachsen ist, kann man den "normalen" Usern die Rechte auch schwerlich wegnehmen.

Push will ich gar nicht, nur eine Verteilung über mehrere WSUS mit Verteilung der Arbeitslast.
Wie sieht die Erfahrung mit dem im Whitepaper enthaltenen Szenario für "Roaming Clients" aus?

Danke für den Tip, das könnte später noch ein Projekt werden.

Ich werd dann jedoch mal weiter auf die Suche gehen zum "Roaming Client" Szenario.