5
ändern des Wsus und der Einstellung je nach Standort
Hallo,
hier gibt es 2 Wsus. Einer läd alle Updates herunter und stellt diese bereit, der andere läd steuert nur welcher Client welche Updates bekommt, die Clients laden sich die Updates selbst aus dem Netz. Das ist alles soweit konfiguriert und funktioniert gut.
Das haben wir hier eingeführt, da wir viele Aussendienstmitarbeiter haben, welche nicht Updates über die lahme VPN Verbindung herunterladen sollen, sondern direkt bei Microsoft die Updates beziehen sollen.
Nun ist aber folgendes: Wir bekommen ca. 1 mal die Woche die Notebooks zum warten. Hier installieren wir auch die Updates, welche bis dato noch nicht installiert wurden. Wenn wir nun 10 Notebooks hier haben ziehen sich alle Notebooks separat die Updates.
Gibt es eine Möglichkeit den Wsus und die Einstellungen fix zu ändern?
Mir schwebt vor hier ein script zu schreiben,welches prüft, ob man sich in einem bestimmten ip-adressbereich befindet oder nicht. also lokales netz = lokaler wsus, dezentral = 2. wsus
das sollte doch möglich sein?
grüße chris
hier gibt es 2 Wsus. Einer läd alle Updates herunter und stellt diese bereit, der andere läd steuert nur welcher Client welche Updates bekommt, die Clients laden sich die Updates selbst aus dem Netz. Das ist alles soweit konfiguriert und funktioniert gut.
Das haben wir hier eingeführt, da wir viele Aussendienstmitarbeiter haben, welche nicht Updates über die lahme VPN Verbindung herunterladen sollen, sondern direkt bei Microsoft die Updates beziehen sollen.
Nun ist aber folgendes: Wir bekommen ca. 1 mal die Woche die Notebooks zum warten. Hier installieren wir auch die Updates, welche bis dato noch nicht installiert wurden. Wenn wir nun 10 Notebooks hier haben ziehen sich alle Notebooks separat die Updates.
Gibt es eine Möglichkeit den Wsus und die Einstellungen fix zu ändern?
Mir schwebt vor hier ein script zu schreiben,welches prüft, ob man sich in einem bestimmten ip-adressbereich befindet oder nicht. also lokales netz = lokaler wsus, dezentral = 2. wsus
das sollte doch möglich sein?
grüße chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 241118
Url: https://administrator.de/contentid/241118
Ausgedruckt am: 24.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Du kannst mehrere GPO mit verschiedenen WSUS-Einstellungen verteilen. Die GPO musst Du dann standortabhängig zuweisen. Das geht über Standortobjekte im ADS, an welche Du dann die GPO binden musst.
Also, schau Dir mal an:
- Standorte und IP-Subnetze im AD
- WSUS-Einstellungen über GPO
E.
Du kannst mehrere GPO mit verschiedenen WSUS-Einstellungen verteilen. Die GPO musst Du dann standortabhängig zuweisen. Das geht über Standortobjekte im ADS, an welche Du dann die GPO binden musst.
Also, schau Dir mal an:
- Standorte und IP-Subnetze im AD
- WSUS-Einstellungen über GPO
E.
danke für die antwort.
ich habe mich etwas blöd ausgedrückt. letztlich habe ich nur 1 ad standort, aber die aussendienstmitarbeiter sind natürlich überall unterwegs. und ich möchte, dass sich die entsprechenden notebooks updates direkt von microsoft herunterladen wenn die mitarbeiter unterwegs sind, und sobald sie im büro sich anmelden, also das laptop physikalisch wieder im haus ist die updates über den wsus ziehen.
ich habe mich etwas blöd ausgedrückt. letztlich habe ich nur 1 ad standort, aber die aussendienstmitarbeiter sind natürlich überall unterwegs. und ich möchte, dass sich die entsprechenden notebooks updates direkt von microsoft herunterladen wenn die mitarbeiter unterwegs sind, und sobald sie im büro sich anmelden, also das laptop physikalisch wieder im haus ist die updates über den wsus ziehen.
Du kannst diese beiden GPO auch mittels WMI-Filter zuweisen:
WMI-Filter für GPO, wenn im internen Netz:
Select * from Win32_PingStatus Where Address='0.0.0.0' And ResponseTime <= 10
WMI-Filter für GPO, wenn NICHT im internen Netz:
Select * from Win32_PingStatus Where Address='0.0.0.0' And ResponseTime > 10
ersetze "0.0.0.0" mit einer IP-Adresse oder einem Servernamen (z.B. dem WSUS) im internen Netz. Achtung: Das Gerät muss auf Ping antworten!
ggf. ändere noch den Wert für "ResponseTime".
Sollte funktionieren.
E.
Edit
Mittagspause = Sauerstoff + Kaffe + Kalorien = Hirn arbeitet wieder
Ich fürchte, mein o.g. Vorschlag wird nicht funktionieren.
Wenn die Clients offline (extern) sind, dann gelten für sie immer noch die zuletzt gezogenen Richtlinien. Also die letzten WSUS-Einstellungen. Also die von intern.
Wie sollen sie aber jetzt die GPO aktualisieren, so dass der WMI-Filter zeiehn könnte und die GPO für "Client ist nicht im Netz" angewendet werden? DC's sind doch nicht verfügbar.
Also wenn so, dann nur per Script,. welches lokal auf dem Gerät liegt und beim Start desselben ausgeführt wird. Dieses Script müsste dann die WSUS-Einstellungen ändern und den WSUS-Dienst durchstarten.
Oder? Geht es noch komplizierter?
Besser so:
Einen Standort im AD für Extern, ohne Subnets.
Einen Standort im AD für die Zentrale mit den Sunbets der Zentrale.
Dann die GPO an die Standorte kleben.
E.
WMI-Filter für GPO, wenn im internen Netz:
Select * from Win32_PingStatus Where Address='0.0.0.0' And ResponseTime <= 10
WMI-Filter für GPO, wenn NICHT im internen Netz:
Select * from Win32_PingStatus Where Address='0.0.0.0' And ResponseTime > 10
ersetze "0.0.0.0" mit einer IP-Adresse oder einem Servernamen (z.B. dem WSUS) im internen Netz. Achtung: Das Gerät muss auf Ping antworten!
ggf. ändere noch den Wert für "ResponseTime".
Sollte funktionieren.
E.
Edit
Mittagspause = Sauerstoff + Kaffe + Kalorien = Hirn arbeitet wieder
Ich fürchte, mein o.g. Vorschlag wird nicht funktionieren.
Wenn die Clients offline (extern) sind, dann gelten für sie immer noch die zuletzt gezogenen Richtlinien. Also die letzten WSUS-Einstellungen. Also die von intern.
Wie sollen sie aber jetzt die GPO aktualisieren, so dass der WMI-Filter zeiehn könnte und die GPO für "Client ist nicht im Netz" angewendet werden? DC's sind doch nicht verfügbar.
Also wenn so, dann nur per Script,. welches lokal auf dem Gerät liegt und beim Start desselben ausgeführt wird. Dieses Script müsste dann die WSUS-Einstellungen ändern und den WSUS-Dienst durchstarten.
Oder? Geht es noch komplizierter?
Besser so:
Einen Standort im AD für Extern, ohne Subnets.
Einen Standort im AD für die Zentrale mit den Sunbets der Zentrale.
Dann die GPO an die Standorte kleben.
E.
1
Hallo,
Aber bitte aufpassen solltest du Updates auf dem Server abgelehnt haben (inkompatibilität oder ähnliches) Zieht sich der Client das Update tortzdem vom WSUS.
Grüße
Aber bitte aufpassen solltest du Updates auf dem Server abgelehnt haben (inkompatibilität oder ähnliches) Zieht sich der Client das Update tortzdem vom WSUS.
Grüße
also im internet habe ich diesen code gefunden:
was der code macht ist klar.
hat das einfluss darauf, was auch die gpo steuert oder ist das egal?
net stop wuauclt
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer /f 2>>C:\WSUSerror.log
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer /t REG_SZ /d http://server1:8080 /f 2>>C:\WSUSerror.log
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d http://server1:8080 /f 2>>C:\WSUSerror.log
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v UseWUServer /t REG_DWORD /d 1 /f 2>>C:\WSUSerror.log
wuauclt /detectnow /reportnowwas der code macht ist klar.
hat das einfluss darauf, was auch die gpo steuert oder ist das egal?
