Hallo,
ich hoffe ich überfalle euch hier nicht mit einem zu umfangreichen Thema oder mit zuvielen Punkte die ich über gidf Prinzip einfacher hätte lösen können.
Thema:
Ich bin derzeit dran ein (Best-Practice) Gesamtkonzept für unser Unternehmen in Bezug auf Windows Update Deployment zu erstellen.
Umfang:
1x Hauptstandort (~500 Clients)
2x Nebenstandorte Deutschland (~70 Clients)
7x Nebenstandorte Ausland (Niederlande, Italien, UK, Frankreich, Spanien, Belgien, Polen) (20-70 Clients pro Lokation)
Betriebssysteme:
Hauptstandort:
(Win 2000, WinXP, Win7, Win8.1, Win10, Office 2010 / 2013)
(Windows Server 2008 R2, Windows Server 2012 R2)
Nebenstandorte:
(Win XP, Win7, 1x Windows Server 2012 R2, Office 2010 / 2013)
Die Nebenstandorte sind alle über eine 2 MBit WAN Verbindung mit dem Unternehmensnetzwerk verbunden. Die Leitung wird über die üblichen bekannten Systeme belegt (Internet, Intranet, Filetransfer, ERP System)
Bisher setzen wir einen WSUS auf einem Windows Server 2003 ein. Version: 3.2.7600.226 (ohne wirkliches Patchmanagement / Strukturen etc. ein)
Meine Überlegungen:
1 WSUS am Hauptstandort
1 WSUS an jedem Nebenstandort (Replika-Server)
Der WSUS am Hauptstandort ist derjenige, welcher die Updates direkt von Microsoft Update bezieht. Dieser verteilt anschließend die Updates an die Replika Systeme weiter. Die Synchronisierungen würde ich Nachts allerdings nicht Zeitgleich laufen lassen wollen.
Die Clients erhalten alle über GPO's die Information, welchen WSUS sie kontaktieren sollen, ebenso sollen sie sich bei Client-Side Targeting in die korrekte Computergruppe übertragen.
Patchmanagement:
Hauptstandort:
LVL 1 (Testclients für das erste Verteilen der Updates)
LVL 2 (Alle Clients / Server welche als "unkritisch" erachtet werden)
LVL 3 (Geräte die aufgrund gewisser "Applikation" nur bedingt geupdated werden dürfen / können (manuell Patchen)
Nebenstandorte:
LVL 2 (Alle Clients / Server welche als "unkritisch" erachtet werden)
LVL 3 (Geräte die aufgrund gewisser "Applikation" nur bedingt geupdated werden dürfen / können (manuell Patchen)
Da alle Clients einen einheitlichen Stand haben sollen (Ausnahme LVL 3 Clients). Würde die Testgruppe für die Nebenstandorte entfallen.
Die WSUS Systeme an den Nebenstandorten, sollen sich nur die Updates für die Clients (Win XP, Win7, Office 2010 / 2013) in Ihrer jeweiligen Landessprache laden.
Ich weiß nicht ob die Information auch interessant ist. ALLE Systeme, welche mind. Windows 7 als Betriebssystem haben werden über ein zentrales WDS System installiert und anschließend ausgeliefert. Somit sind alle Geräte auf einer einheitlichen Basis. Grundinstallation ist immer Englisch, allerdings sind die Notwendigen Language Packs (Office und Windows ebenfalls installiert). Desweiteren sortieren wir derzeit alle alten Windows XP, 2k System etc. aus und lösen diese durch Windows 7 ab.
Meine Fragen:
1. Was denkt Ihr über das Konzept / Was würdet ihr anders machen?
2. Wie regelt ihr das mit dem benötigten Speicherplatz, der "alte" WSUS am Hauptstandort belegt bisher 200 GB. Ich möchte ungern 200 GB an Updates an jede Lokation übertragen
3. Wie viele WSUS Systeme würde ihr bei den jeweiligen Standortgrößen einsetzen?
Falls Ihr noch weitere Informationen braucht, kurz bescheid geben.
Danke für die Unterstützung!
Gruß AkiZ
P.S.: Rechtschreibgore ist enthalten