milord
Goto Top

Update verteilen ohne WSUS und ohne Server

Hallo zusammen, das Thema habe ich hier schon öfter gelesen, aber trotzdem hat es mir nicht weitergeholfen.

Ich bin seit ein paar Monaten neue Admin im Unternehmen und ich fange an gewisse Dinge aufzuräumen.
Jetzt bin ich bei dem Thema Windows Update angekommen, ich versuche mal den Stand der Dinge hier zu erklären.

Mein Unternehmen ca. 90 Mitarbeiter (70 PC Arbeitsplätze) hat alle Dienste in einem Rechenzentrum laufen.
Die Anbindung ist immer per MPLS realisiert und es gibt sonst keine weiteren Internetleitungen.
Zugriff zum Rechenzentrum erfolgt über Citrix (RDP).
So nun zu meinem Problem. Die Firma hat insgesamt 4 Standorte:
Standort 1: 40 PCs/Clients - 5Mbit MPLS Leitung zum Rechenzentrum
Standort 2: 8 PCs/Clients 1,2 Mbit MPLS
Standort 3: 16 PCs/Clients 2 Mbit MPLS
Standort 4: 6 PCs/Clients 1 Mbit MPLS

Nun zu meinem Problem: Wir haben lokal keinen einzigen Server stehen, nur PCs und einen MPLS Router (Firewall etc. alles im Rechenzentrum)
Neben ein paar Igel Thinclients die keine Updates bekommen, gibt es noch Windows 7 und Windows 10 Rechner.
Die Windows Updates sind bei den Geräten deaktiviert, da so die Leitung zusammenbrechen würde (in einem Standort hat letztens ein PC 4 GB Windows Updates gezogen und 50% der Leitung blockiert). So viel dazu.
Manche PCs haben einen Stand von 2016 was die Updates angeht, den Rest habe ich händisch und offline erstmal auf einen Stand im August 2017 gebracht.
Mein Problem ist nun, dass ich nicht in jedem Standort einen WSUS Server einrichten kann und über die MPLS Leitungen kann ich keine Updates verteilen, weil dann die Last zu hoch wäre.
Hier sei einmal gesagt, dass im Standort 3+4 keine schnellere Leitung möglich ist, weder MPLS noch DSL.
Im August hab ich ein Update Pack von Winfuture genutzt und so die Updates per USB Stick installiert.
Auf Dauer wäre mir das aber zu doof und ich suche nach einer Möglichkeit, wie ich das sonst umgehen kann. Eine vernünftige Möglichkeit fällt mir da leider nicht ein.
Was ich mir vorstellen könnte wäre, dass ein Tool auf den PCs läuft und die Updates von einem lokalen NAS gezogen werden (NAS ist in den Standorten vorhanden).
Oder das die Winfuture Updatepacks automatisch ausgerollt werden.


Hat jemand vielleicht noch eine Idee? Ich hoffe ich habe nichts vergessen, wenn noch Fragen sind, immer her damit.

Freue mich auf eure Ideen..

Content-ID: 350999

Url: https://administrator.de/forum/update-verteilen-ohne-wsus-und-ohne-server-350999.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

SlainteMhath
SlainteMhath 06.10.2017 um 13:25:25 Uhr
Goto Top
Moin,

evtl. kannst die Update Packs auf der jeweils Lokalen NAS ablegen und die Installation per GPO beim Hoch- oder herunterfahren der Rechner anstoßen- eine andere Möglichkeit mit den gegebenen Restriktionen sehe ich eigentlich nicht.

ein PC 4 GB Windows Updates gezogen und 50% der Leitung blockiert).
Da würde ich euch empfehlen auf den MPLS Routern an den Sites und im DC das ICA und RDP Protokoll priorisieren zu lassen, dann wird die Auswirkung von derartigen Lastspitzen minimiert.

lg,
Slainte
Milord
Milord 06.10.2017 um 13:34:10 Uhr
Goto Top
Danke für die Antwort.
Wahrscheinlich müssen die Update-Dateien entpackt sein, weil die Winfuture Daten sind .exe Dateien.
Ich werde mir die GPOs mal ansehen und schauen wo ich das konfigurieren kann.
Falls es jemand genau wissen will, diese Packs meinte ich.
http://winfuture.de/downloadvorschalt,2671.html

PS: Bevor die Frage kommt. An den Standorten wird Breitband auf 30Mbit DSL im Jahr 2019/2020 ausgebaut, das wurde vor ein paar Wochen von der Gemeinde bestätigt. Wir wollen halt ungern 2-3 Jahre warten, bis wir bessere Leitungen haben.
Lochkartenstanzer
Lösung Lochkartenstanzer 06.10.2017 um 13:56:07 Uhr
Goto Top
Moin,

Ich würde auf dem lokalen NAS per WSUSOffline die Updates vorhalten und dann regelmäßig per GPO die Clients vom NAS die Updates installieren lassen.

lks
BassFishFox
BassFishFox 06.10.2017 um 14:00:24 Uhr
Goto Top
Hallo,

Schau Dir WSUSOffline an.
Damit einen NAS betanken und per GPO oder halt per Geplanter Aufgabe die Updates installieren lassen.

Schoenes WE.
BFF
Milord
Milord 06.10.2017 um 14:05:42 Uhr
Goto Top
Danke für die Antworten, WSUSOffline werde ich mir mal anschauen face-smile
maretz
maretz 06.10.2017 um 14:54:20 Uhr
Goto Top
Was du auch noch tun kannst - einfach mal einen lokalen Proxy für Web-Downloads (http und https) einsetzen mit einem grossen Cache (z.B. Linux Squid mit einigen GB Cache-Size auf der Festplatte). Das würde dir auch bei anderen Downloads helfen sofern diese auf allen Rechnern laufen müssen... (Browser,....)
BassFishFox
BassFishFox 06.10.2017 um 19:00:27 Uhr
Goto Top
Hallo,

Besser waere fuer ihn wohl eher ein so genannter UpdateAccelerator, den es fuer verschiedene FW-Distro's gibt.
So ein Teil habe ich jahrelang privat und in Schulen per IPCop mit schmalbandigen Leitungen im Einsatz gehabt.
Da IPCop so gut wie gestorben ist, hier der Nachlese-Link zu dem Teil bei IPFire.
http://wiki.ipfire.org/en/configuration/network/update-booster

Schoenes WE!
BFF
Dani
Dani 07.10.2017 um 10:04:04 Uhr
Goto Top
Moin,
Zitat von @maretz:

Was du auch noch tun kannst - einfach mal einen lokalen Proxy für Web-Downloads (http und https) einsetzen mit einem grossen Cache (z.B. Linux Squid mit einigen GB Cache-Size auf der Festplatte). Das würde dir auch bei anderen Downloads helfen sofern diese auf allen Rechnern laufen müssen... (Browser,....)
dazu gibt es im Wiki von Squid auch einen Eintrag, wo die Konfiguration geschrieben wird. Alternativ les dir diesen Blog noch durch.


Gruß,
Dani