Seitenindex umschalten Seiten: [1] 2 3  Thema versendenDrucken
Sehr heißes Thema (mehr als 25 Antworten) Projekt WSUS mit externen Zugriff (Gelesen: 17094 mal)
dreamslider
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 16
Standort: Würzburg
Mitglied seit: 25.03.13
Geschlecht: männlich
Projekt WSUS mit externen Zugriff
25.03.13 um 09:28:59
Beitrag drucken  
Hallo,

ich habe folgendes vor umzusetzen und möchte gerne dazu Meinungen hören bzw. gerne wissen ob das alles Sinn macht.

Grundidee:
Meinen bestehenden WSUS ablösen (ca. 400 Clients) Migration? auf Server 2012 WSUS Rolle.
Der Knackpunkt ist das ich zum einen den WSUS in Zukunft intern im Produktivnetz betrieben möchte und extern in der DMZ. Der externe Zugriff soll deshalb erfolgen weil ich CLients, die länger kein VPN aufbauen, sich diese Updates, welche verwaltet werden, online direkt über das internet vom WSUS holen können.
Das bedeutet der WSUS müsste im Internet über den gleichen Namen erreichbar sein wie intern.
Jetzt ist nur die Frage ob man zwei WSUS-Server nimmt oder nur einen intern und diesen nach außen erreichbar macht. Und ob das Konzept keinen Sinn macht auch die Sicherheitsfrage ist ein Thema. Vielleicht gibt es da auch eine schöne alternative ?
Bin da was die Umsetzung betrifft ratlos...vielleicht kann mich da jemand mal aufklären was er machen würde?
vielen Dank im vorraus!!
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #1 - 25.03.13 um 10:40:35
Beitrag drucken  
dreamslider schrieb on 25.03.13 um 09:28:59:
Grundidee:
Meinen bestehenden WSUS ablösen (ca. 400 Clients) Migration? auf Server 2012 WSUS Rolle.
Der Knackpunkt ist das ich zum einen den WSUS in Zukunft intern im Produktivnetz betrieben möchte und extern in der DMZ. Der externe Zugriff soll deshalb erfolgen weil ich CLients, die länger kein VPN aufbauen, sich diese Updates, welche verwaltet werden, online direkt über das internet vom WSUS holen können.
Das bedeutet der WSUS müsste im Internet über den gleichen Namen erreichbar sein wie intern.


Wenn Du eh schon zwei WSUS aufsetzen möchtest, lass die Clients, die selten per VPN kommen doch bei MS direkt die Updates abholen. Berichten können sie an den WSUS in der DMZ. Den WSUS in der DMZ solltest Du aber trotzdem nur über Port 8531 (SSL) zur Verfügung stellen.

dreamslider schrieb on 25.03.13 um 09:28:59:
Jetzt ist nur die Frage ob man zwei WSUS-Server nimmt oder nur einen intern und diesen nach außen erreichbar macht. Und ob das Konzept keinen Sinn macht auch die Sicherheitsfrage ist ein Thema. Vielleicht gibt es da auch eine schöne alternative ?


Von Intern nach Extern zur Verfügung stellen würde ich ihn nicht, in der DMZ nur einen Berichts-WSUS aufzustellen könnte man IMHO schon wagen.
  
Zum Seitenanfang
 
dreamslider
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 16
Standort: Würzburg
Mitglied seit: 25.03.13
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #2 - 25.03.13 um 10:52:53
Beitrag drucken  
Hi, Sunny vielen Dank für deine Antwort!
Also ich muss nicht zwei WSUS Server aufsetzen will ich eigentlich auch gar nicht. Aber das ich Dich jetzt richtig verstehe ich soll dem Client sagen er soll Updates direkt abholen und dann an den WSUS melden? Macht das denn Sinn? also ich möchte unbedingt bestimmen welches Update der Client bekommt daher geht direkt von MS gar nicht.
Also ich würde schon gerne nur ein WSUS aufsetzen aber ist das gernerell jetzt schon nicht empfehlenswert?
Was macht denn der Rest der Welt in solchen Fällen mit den MS Updates ?
  
Zum Seitenanfang
 
WSUS.DE-Admin
Administrator
*****
Offline


I love WSUS

Beiträge: 1012
Standort: Essen
Mitglied seit: 31.03.05
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #3 - 25.03.13 um 11:17:09
Beitrag drucken  
Dieses Thema wurde in dieses Forum von Fragen, Vorschläge, Wünsche und Anregungen [move by] WSUS.DE-Admin.
  
Zum Seitenanfang
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #4 - 25.03.13 um 11:25:57
Beitrag drucken  
dreamslider schrieb on 25.03.13 um 10:52:53:
Also ich muss nicht zwei WSUS Server aufsetzen will ich eigentlich auch gar nicht.


Doch, 2 WSUS brauchst Du natürlich. Einer steht intern, der zweite in der DMZ.

dreamslider schrieb on 25.03.13 um 10:52:53:
Aber das ich Dich jetzt richtig verstehe ich soll dem Client sagen er soll Updates direkt abholen und dann an den WSUS melden? Macht das denn Sinn? also ich möchte unbedingt bestimmen welches Update der Client bekommt daher geht direkt von MS gar nicht.


Deshalb brauchst Du ja einen zweiten WSUS, bei dem melden sich die Clients und holen sich die Genhmigungen ab. Und direkt bei MS holen sie sich die Updates.

dreamslider schrieb on 25.03.13 um 10:52:53:
Also ich würde schon gerne nur ein WSUS aufsetzen aber ist das gernerell jetzt schon nicht empfehlenswert?
Was macht denn der Rest der Welt in solchen Fällen mit den MS Updates ?


Nein, ich würde schon mit 2 WSUS arbeiten, denn Du kannst das ansonsten nicht so einstellen wie Du möchtest. Pro WSUS gibt es nur eine Option. Schau doch mal selbst in den Optionen vom WSUS nach, dann weißt Du was ich meine.

Was die Welt macht weiß ich nicht, bei 400 Clients kann ich mir vorstellen dass es SMS oder System Center gibt, die arbeiten etwas anders.
  
Zum Seitenanfang
 
dreamslider
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 16
Standort: Würzburg
Mitglied seit: 25.03.13
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #5 - 25.03.13 um 12:01:41
Beitrag drucken  
Ok schon mal danke für die Infos Sunny.

Wäre denn System Center 2012 Datacenter Edition eine alternative zum Aufbau zweier WSUS Server die sich replizieren?

Gibt es da noch andere Meinungen oder Erfahrungen dazu?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #6 - 25.03.13 um 12:10:36
Beitrag drucken  
dreamslider schrieb on 25.03.13 um 12:01:41:
Wäre denn System Center 2012 Datacenter Edition eine alternative zum Aufbau zweier WSUS Server die sich replizieren?


Keine Ahnung, ich habe mit dem Produkt noch nicht gearbeitet. Da mußt auf Antworten von anderen warten.
  
Zum Seitenanfang
 
kk
WSUS Full Member
**
Offline


I Love WSUS!

Beiträge: 89
Standort: MUC
Mitglied seit: 09.10.07
Re: Projekt WSUS mit externen Zugriff
Antwort #7 - 03.04.13 um 11:05:23
Beitrag drucken  
Anstelle eines recht umständlichen "2 WSUS Projektes" wäre zu Überlegen,  die Wurzel des Problems anzugehen.
Anscheinend habt ihr Laptops, die im Internet unterwegs sind, aber nicht im VPN. Wahrscheinlich die übliche User Faulheit. Kenne ich ...
Ich bin deshalb vor kurzem auf eine VPN Lösung umgestiegen, die als Dienst läuft und bereits während des Bootvorgangs aktiv wird.
Meine Einstellung zu dem Thema: Da ich eine zentrale Verwaltung (WSUS, Virenscanner, GPOs, Dateiablage Policies ...) habe, hat ein permanent VPN Priorität.

  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #8 - 03.04.13 um 15:03:12
Beitrag drucken  
kk schrieb on 03.04.13 um 11:05:23:
Ich bin deshalb vor kurzem auf eine VPN Lösung umgestiegen, die als Dienst läuft und bereits während des Bootvorgangs aktiv wird.
Meine Einstellung zu dem Thema: Da ich eine zentrale Verwaltung (WSUS, Virenscanner, GPOs, Dateiablage Policies ...) habe, hat ein permanent VPN Priorität.



Eine weitere Variante wäre DirectAccess: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
kk
WSUS Full Member
**
Offline


I Love WSUS!

Beiträge: 89
Standort: MUC
Mitglied seit: 09.10.07
Re: Projekt WSUS mit externen Zugriff
Antwort #9 - 04.04.13 um 13:55:56
Beitrag drucken  
Hi Sunny,
Hatte ich mir damals auch angesehen. Scheiterte bei mir schon an der ersten Hürde, nämlich der Windows 7 enterprise Voraussetzung. Aber es gab auch weitere Hürden.
Gab damals bei der Vorstellung vor >100 Admins eigentlich nur ablehnende Stimmen. Kennst du Installationen, die das erfolgreich einsetzten?


Ein VPN Aufbau erst nach dem Login war bei mir immer ein Ärgernis. z.B. Userwechsel waren nicht ohne weiteres machbar...
Jetzt hab ich diesen Hemmschuh endlich beseitigt...
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #10 - 04.04.13 um 14:54:42
Beitrag drucken  
kk schrieb on 04.04.13 um 13:55:56:
Hatte ich mir damals auch angesehen. Scheiterte bei mir schon an der ersten Hürde, nämlich der Windows 7 enterprise Voraussetzung. Aber es gab auch weitere Hürden.


Weshalb ist W7 Enterprise eine Hürde? Wegen des Preises? Was kostet der Firmenwagen, der alle 3 Jahre neu angeschafft wird? Sorry, aber ich kann das Gejammer um den Preis nicht mehr hören. Ist nicht gegen dich, aber da wird IMHO an der falschen Stelle gespart.

Welches waren die weiteren Hürden?


kk schrieb on 04.04.13 um 13:55:56:
Gab damals bei der Vorstellung vor >100 Admins eigentlich nur ablehnende Stimmen. Kennst du Installationen, die das erfolgreich einsetzten?



Nein, mir sind keine bekannt. Aber Oliver Sommer, auch ein MVP, richtet das wohl häufiger ein und war sehr begeistert. Denn mit W2012 soll es noch einfacher sein.

Ich hatte das bei einer Technet Veranstaltung gesehen und war gleich ziemlich begeistert davon, denn wenn ein Benutzer nicht mehr eingreifen muss, auch kein 3rd Party Dienst notwendig ist, dann sehe ich das als positiv an.


kk schrieb on 04.04.13 um 13:55:56:
Ein VPN Aufbau erst nach dem Login war bei mir immer ein Ärgernis. z.B. Userwechsel waren nicht ohne weiteres machbar...
Jetzt hab ich diesen Hemmschuh endlich beseitigt...


Bei DirectAccess hast Du auch noch vor dem Login Zugriff auf das Firmennetzwerk.
  
Zum Seitenanfang
 
kk
WSUS Full Member
**
Offline


I Love WSUS!

Beiträge: 89
Standort: MUC
Mitglied seit: 09.10.07
Re: Projekt WSUS mit externen Zugriff
Antwort #11 - 12.04.13 um 10:36:45
Beitrag drucken  
Kosten/Nutzen Vergleich von Firmenwagen gegenüber Lizenzkosten ist legitim. Ich versuche immer sauber zu rechnen, sprich keine Bauchentscheidung zu treffen.
Für die Enterprise Lizenzen sind nicht nur die Lizenzkosten für Neuanschaffungen notwendig sondern auch alte Lizenzen müssen replaced werden. Das wären in unserem Fall ganz schön viele. Dazu muss ich die anfallenden Arbeitskosten rechnen.
Ich hatte mit ein paar Kollegen in der Vortragspause Überschlagskalkulationen angestellt.
An der Stelle war das Projekt bereits gescheitert. Die anderen Hürden habe ich nicht mehr im Kopf. Zu meiner Verteidigung: Ist ja einige Jahre her...
Mal im trüben fischend: Waren es propietäre Ansätze in der Firewallvoraussetzung, vielleicht irgendwelche Cloudbestandteile?
Ich weiss es leider nicht mehr.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #12 - 12.04.13 um 11:12:58
Beitrag drucken  
Mit Windows Server 2012 ist die Einrichtung und Konfiguration noch einfacher geworden. Schau dir das kleine HowTo von Frank Carius an: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Ich habe es wirklich nur überflogen, aber ich bin der Meinung, man kann es ausprobieren.

Und zu den alten Lizenzen, sicherlich müssen die getauscht werden, aber man muß das ja nicht gleich über das Knie brechen. Ein bisschen testen, wenn es einwandfrei funktioniert und der Vorstand begeistert ist davon, wird auch das Bugdet dafür zur Verfügung gestellt. Und die Benutzer würde es sicherlich auch freuen.
  
Zum Seitenanfang
 
dreamslider
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 16
Standort: Würzburg
Mitglied seit: 25.03.13
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #13 - 28.05.13 um 10:00:34
Beitrag drucken  
Hallo,

so jetzt bin ich inzwischen schlauer wie es aussehen soll:

1) VPN ist nicht erwünscht auch nicht als Dienst laufend
2) Eine WSUS Lösung die auch externe Clients erreichen können.
3 Problemstellung zwei WSUS Server einer im Prod Netz der andere in der DMZ. Der Ideenansatz wäre folgender einen primären WSUS im Prod netz und einen secundären in der DMZ der nur extern die Clients bedient. DIe Probleme sind aber jetzt erstmal das ich einem Client per GPO nur einen PFad mitteilen kann, sprich für intern und extern. Aber wie bekomme ich das umgesetzt was die Namen betrifft?
Weiteres Problem ich möchte nur Datenhaltung auf dem primären Server haben, auf dem Server in der DMZ nur die reine Verwaltung.
Das alles über SSL usw. ... ich bin da gerade am Zweifeln ob ich das so überhaupt umsetzen kann  Traurig
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Projekt WSUS mit externen Zugriff
Antwort #14 - 28.05.13 um 11:36:42
Beitrag drucken  
dreamslider schrieb on 28.05.13 um 10:00:34:
2) Eine WSUS Lösung die auch externe Clients erreichen können.
3 Problemstellung zwei WSUS Server einer im Prod Netz der andere in der DMZ. Der Ideenansatz wäre folgender einen primären WSUS im Prod netz und einen secundären in der DMZ der nur extern die Clients bedient. DIe Probleme sind aber jetzt erstmal das ich einem Client per GPO nur einen PFad mitteilen kann, sprich für intern und extern. Aber wie bekomme ich das umgesetzt was die Namen betrifft?


Doch, das geht. Hatten wir erst kürzlich hier im Forum: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
Alternativ auch im Technet Forum: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

dreamslider schrieb on 28.05.13 um 10:00:34:
Weiteres Problem ich möchte nur Datenhaltung auf dem primären Server haben, auf dem Server in der DMZ nur die reine Verwaltung.
Das alles über SSL usw. ... ich bin da gerade am Zweifeln ob ich das so überhaupt umsetzen kann  Traurig



Die Anbindung an den WSUS kannst Du selbstverständlich über SSL machen, Port 443 oder 8531 steht zur Verfügung.

Dieser Link ist auch nicht ganz unwichtig: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Dann funktioniert das mit dem DNS nicht mehr so, wie oben angesprochen. Dazu müsstest Du dir dann SAN-Zertifikate ausstellen, dann könnte es funktionieren. Ich hatte vor in naher Zukunft dazu ein kleines HowTo zu erstellen, momentan war noch keine Zeit dazu. Wenn Du es umsetzen kannst, könntest Du auch gleich ein HowTo dazu schreiben und hier veröffentlichen. Zwinkernd

Was auch nicht funktionieren wird, ist nur eine Datenbank für 2 WSUS zu haben. Der Replica WSUS in der DMZ repliziert ja seine Daten zum Master WSUS ins LAN, also reicht es IMHO aus, nur diese SUSDB zu sichern, die andere kannst Du ja jederzeit wieder neu erstellen lassen. Am besten solltest Du das in einem Testbereich sauber aufsetzen und gut testen, ansonsten könnte das schnell nach hinten losgehen.
  
Zum Seitenanfang
 
Seitenindex umschalten Seiten: [1] 2 3 
Thema versendenDrucken
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden