Domain Controller in WSUS einbinden
Hallo zusammen,
Situation:
zur Zeit habe ich alle Member-Server aus der Domäne in WSUS per GPO eingebunden. Hiefür habe ich eine extra OU erstellt, in der dann die Systeme (Server) verschoben werden. Mit einer Gruppenrichtlinie weise ich der OU den WSUS Server.
Problem:
Nun haben in einer Domäne die Domaincontroller eine eigene OU mit dem Namen "Domain Controllers" und eine voreingestellte Gruppenrichtlinie, die man laut Microsoft nicht bearbeiten sollte. Ich möchte aber die 2 Domain Controller ebenfalls in WSUS einbinden. Kann man diese Computer im Active Directory ohne Probleme aus der OU verschieben oder die andere Möglichkeit eine extra Gruppenrichtlinie zu erstellen, in der der WSUS Server eingetragen ist?!
Wie habt ihr es gelöst, die Domain Controller über WSUS zu betreiben?
Grüße
- klerfrq -
Situation:
zur Zeit habe ich alle Member-Server aus der Domäne in WSUS per GPO eingebunden. Hiefür habe ich eine extra OU erstellt, in der dann die Systeme (Server) verschoben werden. Mit einer Gruppenrichtlinie weise ich der OU den WSUS Server.
Problem:
Nun haben in einer Domäne die Domaincontroller eine eigene OU mit dem Namen "Domain Controllers" und eine voreingestellte Gruppenrichtlinie, die man laut Microsoft nicht bearbeiten sollte. Ich möchte aber die 2 Domain Controller ebenfalls in WSUS einbinden. Kann man diese Computer im Active Directory ohne Probleme aus der OU verschieben oder die andere Möglichkeit eine extra Gruppenrichtlinie zu erstellen, in der der WSUS Server eingetragen ist?!
Wie habt ihr es gelöst, die Domain Controller über WSUS zu betreiben?
Grüße
- klerfrq -
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55289
Url: https://administrator.de/forum/domain-controller-in-wsus-einbinden-55289.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar
Ich schlage vor das ein Domaincontroller die Windowsupdates NICHT automatisch per WSUS lädt und dann selber einen Neustart durchführt. Besser fände ich, wenn sich der Admin bei den wichtigsten Servern der Firma einmal pro Monat die Zeit nimmt, das Eventlog prüft und dann die Patches lädt.
Aber das ist meine Meinung.
Gruß Rafiki
Aber das ist meine Meinung.
Gruß Rafiki
Hallo,
genau aus dem Grund würde ich die Domänen Kontroller in einer eigenen Gruppe plazieren und zwar aus genau dem Grund. Mit der eigenen Gruppe kann ich dann nämlich die zuweisung der Updates für die DC's anders konfigurieren als für die restlichen Rechner.
Das aumatisch installieren und booten, hat null nichts nada mit dem WSUS zu tun, dass ist eine Option in der GPO die du immer einstellen kannst.
Diese Optionen bleiben durch das eigene GPO für die DC's auch getrennt zu konfigurieren.
Empfehlen würde ich hier:
- Updates downloaden und zur Installation auffordern
Sorry Rafiki, aber die Idee die DC's nicht an den WSUS zu hängen halte ich für Schwachsinn. Zudem versteh ich nicht wie du anhand des Eventlogs sehen möchtest welche Patches dir fehlen.
MfG IceBeer
genau aus dem Grund würde ich die Domänen Kontroller in einer eigenen Gruppe plazieren und zwar aus genau dem Grund. Mit der eigenen Gruppe kann ich dann nämlich die zuweisung der Updates für die DC's anders konfigurieren als für die restlichen Rechner.
Das aumatisch installieren und booten, hat null nichts nada mit dem WSUS zu tun, dass ist eine Option in der GPO die du immer einstellen kannst.
Diese Optionen bleiben durch das eigene GPO für die DC's auch getrennt zu konfigurieren.
Empfehlen würde ich hier:
- Updates downloaden und zur Installation auffordern
Sorry Rafiki, aber die Idee die DC's nicht an den WSUS zu hängen halte ich für Schwachsinn. Zudem versteh ich nicht wie du anhand des Eventlogs sehen möchtest welche Patches dir fehlen.
MfG IceBeer
Hi IceBeer,
sorry, ich habe mich undeutlich ausgedrückt. Du hast natürlich recht, im Eventlog steht nicht welche Patches fehlen. Aber nach meiner Meinug sollte ein Admin regelmäßig im Eventlog checken ob es dem Server in allen Belangen gut geht. Patches sind dann anschließend zu laden und zu installieren. Es spricht nichts dagegen die Patches per WSUS zu laden, aber wie du schon sagst, installieren bzw. den Server zu booten bleibt besser dem Admin vorbehalten.
Gruß Rafiki
sorry, ich habe mich undeutlich ausgedrückt. Du hast natürlich recht, im Eventlog steht nicht welche Patches fehlen. Aber nach meiner Meinug sollte ein Admin regelmäßig im Eventlog checken ob es dem Server in allen Belangen gut geht. Patches sind dann anschließend zu laden und zu installieren. Es spricht nichts dagegen die Patches per WSUS zu laden, aber wie du schon sagst, installieren bzw. den Server zu booten bleibt besser dem Admin vorbehalten.
Gruß Rafiki