Automatischer Wechsel zwischen WSUS und WU

bleppsatter
Goto Top
Hallo an Alle,

im Zuge der Umstellung auf den neuen WSUS-Server bin ich auf ein Problem gestoßen, für welches ich keine optimale Lösung gefunden habe:

Ich verwalte neben etlichen Bürorechnern mit fester Anbindung an unseren WSUS-Server auch diverse Notebooks, die je nach Notwendigkeit im Büro verwendet werden, aber auch mal für mehrere Monate außerhalb unseres Netzwerkes arbeiten. Da ich dennoch sicherstellen will, dass diese Notebooks auch über aktuelle Sicherheitsupdates verfügen, muss ich nun entscheiden, ob diese an den WSUS angebunden werden oder regulär über Windows Update aktualisiert werden. Besser wäre es aber, wenn es möglich wäre, dort eine Regelung zu implementieren, nach der die Clients automatisch Windows Update kontaktieren, sofern sie keinen Zugriff zum WSUS haben. Der WSUS sollte aber immer an erster Stelle stehen und Windows Update als Fallback fungieren.

Ich habe zwar herausgefunden, dass man eine Alternativen Downloadserver für Updates angeben und diesen auch mit Windows Update als Quelle konfigurieren kann. Allerdings setzt auch dieser einen Zugriff zum primären WSUS-Server voraus, was sich für meinen Fall nicht eignet. Gibt es eine andere Möglichkeit, wie ich das lösen kann?

Ein Kollege hat ein Skript geschrieben, was über die Aufgabenplanung einen Netzwerkwechsel erkennt und dann in der Registry unter HKLM\SOFTWARE\Policies\Microsoft\Windows Update\AU jeweils den Wert UseWUServer abändert, allerdings wäre es mir lieber, eine bereits vorhandene integrierte Lösung zu nutzen, falls dieser Fall in irgendeiner Art und Weise bereits von Microsoft berücksichtigt wurde.

Beste Grüße!

Content-Key: 1383788315

Url: https://administrator.de/contentid/1383788315

Ausgedruckt am: 04.07.2022 um 02:07 Uhr

Mitglied: ITghost
ITghost 13.10.2021 um 11:32:32 Uhr
Goto Top
Wir haben das anders geklärt.
Wir haben die Richtlinie bei allen Usern (auch bei CEOs oder sonstiges) dass diese User sich mindestens 1 mal in der Woche mit dem VPN verbinden müssen.
Um einen reibungslosen und sichereren Support zu gewährleisten.

That's it. Funktioniert gut & wenn sich jemand nicht daran hält - sehen wir das auf unserem Inventory System - dann bekommt der IT-Verantwortliche und der CEO vom Kunden ein Mail, mit User xy hält sich nicht an die Richtlinien (natürlich erst nach 3-5 Wochen & 0 Verbindungen zum Server) und diese müssen sich dann darum kümmern, dass der User sich via VPN einwählt oder sie sagen uns der ist freigestellt usw.

Weiß nicht ob das bei dir realisierbar ist, aber bei uns funktioniert das i.d.R echt gut.

LG,
Mitglied: BleppSatter
BleppSatter 13.10.2021 um 12:15:02 Uhr
Goto Top
Hallo ITghost,

das ist natürlich ein ganz anderer Ansatz, der bei uns erfahrungsgemäß aber nicht funktionieren wird.
Wir sind 4 IT-Verantwortliche, die etwa 200 Kollegen plus deren Arbeitsgeräte betreuen. Es wäre für uns ein ziemlicher Aufwand, diese Richtlinie anzuwenden und einzuhalten. Dass wir die Einhaltung der Updateinstallation kontrollieren müssen und im Zweifelsfall auch entsprechend nachhaken, ist klar.
Die Notebooks haben auch VPN, womit die sich bei uns einwählen können. Allerdings ist das nicht für hohe Brandbreiten ausgelegt, die ja bei manchen Updates erforderlich sind. Spätestens bei den Funktionsupdates würde das unsere Leitung stark beanspruchen.
Die Kontrolle, welchen Updatestand jedes Gerät hat, haben wir auf anderen Weg gelöst, die unabhängig von der aktiven Netzwerkverbindung des Clients funktioniert.

Ich danke dir trotzdem für deinen Input.
Mitglied: Looser27
Looser27 13.10.2021 um 12:59:08 Uhr
Goto Top
Setze in der Client GPO nur einmal den WSUS. Wenn der untere Eintrag fehlt, geht der Client auf die Windows Server, wenn der WSUS nicht erreichbar ist. War zumindest bisher so. Die GPO dann nur für die Außendienst Notebooks und Du hast das Ziel erreicht.

Gruß

Looser
Mitglied: NixVerstehen
NixVerstehen 13.10.2021 um 15:13:57 Uhr
Goto Top
Zitat von @Looser27:

Setze in der Client GPO nur einmal den WSUS. Wenn der untere Eintrag fehlt, geht der Client auf die Windows Server, wenn der WSUS nicht erreichbar ist. War zumindest bisher so. Die GPO dann nur für die Außendienst Notebooks und Du hast das Ziel erreicht.

Gruß

Looser

Wobei du hier aufpassen musst, das die Clients sich nicht am WSUS vorbei Updates ziehen können, auch wenn sie den WSUS erreichen könnten (Stichwort DualScan). Hier mal ein Artikel auf windowspro.de zum Thema. Ggf. hilft das dem TO auch weiter, sein Problem zu lösen.

Gruß NV
Mitglied: BleppSatter
BleppSatter 15.10.2021 um 16:28:04 Uhr
Goto Top
@Looser27 :
Danke für den Hinweis. Ich werde das mal testen, wie gut das funktioniert und dann Feedback geben.
Mitglied: BleppSatter
BleppSatter 18.10.2021 um 10:43:50 Uhr
Goto Top
Das hat bei mir nicht funktioniert. Er sagt zwar in der Update-Übersicht der Einstellungen-App, dass er auf dem neusten Stand ist und auch stündlich prüft. Aber nach Sichtung der Update-Logs schaut er weiterhin nur auf den WSUS und nimmt nicht einmal Kontakt zum WU von Microsoft auf. Ich habe sogar testweise ein Update deinstalliert, damit ich so sicherstellen kann, ob ein Abgleich stattfindet oder nicht. Das Notebook hing dabei die ganze Zeit in einem separaten Netzwerk, wo keine Verbindung zum konfigurierten WSUS möglich ist.