Automatischer Wechsel zwischen WSUS und WU

Hallo an Alle,

im Zuge der Umstellung auf den neuen WSUS-Server bin ich auf ein Problem gestoßen, für welches ich keine optimale Lösung gefunden habe:

Ich verwalte neben etlichen Bürorechnern mit fester Anbindung an unseren WSUS-Server auch diverse Notebooks, die je nach Notwendigkeit im Büro verwendet werden, aber auch mal für mehrere Monate außerhalb unseres Netzwerkes arbeiten. Da ich dennoch sicherstellen will, dass diese Notebooks auch über aktuelle Sicherheitsupdates verfügen, muss ich nun entscheiden, ob diese an den WSUS angebunden werden oder regulär über Windows Update aktualisiert werden. Besser wäre es aber, wenn es möglich wäre, dort eine Regelung zu implementieren, nach der die Clients automatisch Windows Update kontaktieren, sofern sie keinen Zugriff zum WSUS haben. Der WSUS sollte aber immer an erster Stelle stehen und Windows Update als Fallback fungieren.

Ich habe zwar herausgefunden, dass man eine Alternativen Downloadserver für Updates angeben und diesen auch mit Windows Update als Quelle konfigurieren kann. Allerdings setzt auch dieser einen Zugriff zum primären WSUS-Server voraus, was sich für meinen Fall nicht eignet. Gibt es eine andere Möglichkeit, wie ich das lösen kann?

Ein Kollege hat ein Skript geschrieben, was über die Aufgabenplanung einen Netzwerkwechsel erkennt und dann in der Registry unter HKLM\SOFTWARE\Policies\Microsoft\Windows Update\AU jeweils den Wert UseWUServer abändert, allerdings wäre es mir lieber, eine bereits vorhandene integrierte Lösung zu nutzen, falls dieser Fall in irgendeiner Art und Weise bereits von Microsoft berücksichtigt wurde.

Beste Grüße!

Content-Key: 1383788315

Url: https://administrator.de/contentid/1383788315

Ausgedruckt am: 26.10.2021 um 16:10 Uhr

Mitglied: ITghost
ITghost 13.10.2021 um 11:32:32 Uhr
Goto Top
Wir haben das anders geklärt.
Wir haben die Richtlinie bei allen Usern (auch bei CEOs oder sonstiges) dass diese User sich mindestens 1 mal in der Woche mit dem VPN verbinden müssen.
Um einen reibungslosen und sichereren Support zu gewährleisten.

That's it. Funktioniert gut & wenn sich jemand nicht daran hält - sehen wir das auf unserem Inventory System - dann bekommt der IT-Verantwortliche und der CEO vom Kunden ein Mail, mit User xy hält sich nicht an die Richtlinien (natürlich erst nach 3-5 Wochen & 0 Verbindungen zum Server) und diese müssen sich dann darum kümmern, dass der User sich via VPN einwählt oder sie sagen uns der ist freigestellt usw.

Weiß nicht ob das bei dir realisierbar ist, aber bei uns funktioniert das i.d.R echt gut.

LG,
Mitglied: BleppSatter
BleppSatter 13.10.2021 um 12:15:02 Uhr
Goto Top
Hallo ITghost,

das ist natürlich ein ganz anderer Ansatz, der bei uns erfahrungsgemäß aber nicht funktionieren wird.
Wir sind 4 IT-Verantwortliche, die etwa 200 Kollegen plus deren Arbeitsgeräte betreuen. Es wäre für uns ein ziemlicher Aufwand, diese Richtlinie anzuwenden und einzuhalten. Dass wir die Einhaltung der Updateinstallation kontrollieren müssen und im Zweifelsfall auch entsprechend nachhaken, ist klar.
Die Notebooks haben auch VPN, womit die sich bei uns einwählen können. Allerdings ist das nicht für hohe Brandbreiten ausgelegt, die ja bei manchen Updates erforderlich sind. Spätestens bei den Funktionsupdates würde das unsere Leitung stark beanspruchen.
Die Kontrolle, welchen Updatestand jedes Gerät hat, haben wir auf anderen Weg gelöst, die unabhängig von der aktiven Netzwerkverbindung des Clients funktioniert.

Ich danke dir trotzdem für deinen Input.
Mitglied: Looser27
Looser27 13.10.2021 um 12:59:08 Uhr
Goto Top
Setze in der Client GPO nur einmal den WSUS. Wenn der untere Eintrag fehlt, geht der Client auf die Windows Server, wenn der WSUS nicht erreichbar ist. War zumindest bisher so. Die GPO dann nur für die Außendienst Notebooks und Du hast das Ziel erreicht.

Gruß

Looser
Mitglied: NixVerstehen
NixVerstehen 13.10.2021 um 15:13:57 Uhr
Goto Top
Zitat von @Looser27:

Setze in der Client GPO nur einmal den WSUS. Wenn der untere Eintrag fehlt, geht der Client auf die Windows Server, wenn der WSUS nicht erreichbar ist. War zumindest bisher so. Die GPO dann nur für die Außendienst Notebooks und Du hast das Ziel erreicht.

Gruß

Looser

Wobei du hier aufpassen musst, das die Clients sich nicht am WSUS vorbei Updates ziehen können, auch wenn sie den WSUS erreichen könnten (Stichwort DualScan). Hier mal ein Artikel auf windowspro.de zum Thema. Ggf. hilft das dem TO auch weiter, sein Problem zu lösen.

Gruß NV
Mitglied: BleppSatter
BleppSatter 15.10.2021 um 16:28:04 Uhr
Goto Top
@Looser27 :
Danke für den Hinweis. Ich werde das mal testen, wie gut das funktioniert und dann Feedback geben.
Mitglied: BleppSatter
BleppSatter 18.10.2021 um 10:43:50 Uhr
Goto Top
Das hat bei mir nicht funktioniert. Er sagt zwar in der Update-Übersicht der Einstellungen-App, dass er auf dem neusten Stand ist und auch stündlich prüft. Aber nach Sichtung der Update-Logs schaut er weiterhin nur auf den WSUS und nimmt nicht einmal Kontakt zum WU von Microsoft auf. Ich habe sogar testweise ein Update deinstalliert, damit ich so sicherstellen kann, ob ein Abgleich stattfindet oder nicht. Das Notebook hing dabei die ganze Zeit in einem separaten Netzwerk, wo keine Verbindung zum konfigurierten WSUS möglich ist.
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 2 TagenFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...