8
Update verteilen ohne WSUS und ohne Server
Hallo zusammen, das Thema habe ich hier schon öfter gelesen, aber trotzdem hat es mir nicht weitergeholfen.
Ich bin seit ein paar Monaten neue Admin im Unternehmen und ich fange an gewisse Dinge aufzuräumen.
Jetzt bin ich bei dem Thema Windows Update angekommen, ich versuche mal den Stand der Dinge hier zu erklären.
Mein Unternehmen ca. 90 Mitarbeiter (70 PC Arbeitsplätze) hat alle Dienste in einem Rechenzentrum laufen.
Die Anbindung ist immer per MPLS realisiert und es gibt sonst keine weiteren Internetleitungen.
Zugriff zum Rechenzentrum erfolgt über Citrix (RDP).
So nun zu meinem Problem. Die Firma hat insgesamt 4 Standorte:
Standort 1: 40 PCs/Clients - 5Mbit MPLS Leitung zum Rechenzentrum
Standort 2: 8 PCs/Clients 1,2 Mbit MPLS
Standort 3: 16 PCs/Clients 2 Mbit MPLS
Standort 4: 6 PCs/Clients 1 Mbit MPLS
Nun zu meinem Problem: Wir haben lokal keinen einzigen Server stehen, nur PCs und einen MPLS Router (Firewall etc. alles im Rechenzentrum)
Neben ein paar Igel Thinclients die keine Updates bekommen, gibt es noch Windows 7 und Windows 10 Rechner.
Die Windows Updates sind bei den Geräten deaktiviert, da so die Leitung zusammenbrechen würde (in einem Standort hat letztens ein PC 4 GB Windows Updates gezogen und 50% der Leitung blockiert). So viel dazu.
Manche PCs haben einen Stand von 2016 was die Updates angeht, den Rest habe ich händisch und offline erstmal auf einen Stand im August 2017 gebracht.
Mein Problem ist nun, dass ich nicht in jedem Standort einen WSUS Server einrichten kann und über die MPLS Leitungen kann ich keine Updates verteilen, weil dann die Last zu hoch wäre.
Hier sei einmal gesagt, dass im Standort 3+4 keine schnellere Leitung möglich ist, weder MPLS noch DSL.
Im August hab ich ein Update Pack von Winfuture genutzt und so die Updates per USB Stick installiert.
Auf Dauer wäre mir das aber zu doof und ich suche nach einer Möglichkeit, wie ich das sonst umgehen kann. Eine vernünftige Möglichkeit fällt mir da leider nicht ein.
Was ich mir vorstellen könnte wäre, dass ein Tool auf den PCs läuft und die Updates von einem lokalen NAS gezogen werden (NAS ist in den Standorten vorhanden).
Oder das die Winfuture Updatepacks automatisch ausgerollt werden.
Hat jemand vielleicht noch eine Idee? Ich hoffe ich habe nichts vergessen, wenn noch Fragen sind, immer her damit.
Freue mich auf eure Ideen..
Ich bin seit ein paar Monaten neue Admin im Unternehmen und ich fange an gewisse Dinge aufzuräumen.
Jetzt bin ich bei dem Thema Windows Update angekommen, ich versuche mal den Stand der Dinge hier zu erklären.
Mein Unternehmen ca. 90 Mitarbeiter (70 PC Arbeitsplätze) hat alle Dienste in einem Rechenzentrum laufen.
Die Anbindung ist immer per MPLS realisiert und es gibt sonst keine weiteren Internetleitungen.
Zugriff zum Rechenzentrum erfolgt über Citrix (RDP).
So nun zu meinem Problem. Die Firma hat insgesamt 4 Standorte:
Standort 1: 40 PCs/Clients - 5Mbit MPLS Leitung zum Rechenzentrum
Standort 2: 8 PCs/Clients 1,2 Mbit MPLS
Standort 3: 16 PCs/Clients 2 Mbit MPLS
Standort 4: 6 PCs/Clients 1 Mbit MPLS
Nun zu meinem Problem: Wir haben lokal keinen einzigen Server stehen, nur PCs und einen MPLS Router (Firewall etc. alles im Rechenzentrum)
Neben ein paar Igel Thinclients die keine Updates bekommen, gibt es noch Windows 7 und Windows 10 Rechner.
Die Windows Updates sind bei den Geräten deaktiviert, da so die Leitung zusammenbrechen würde (in einem Standort hat letztens ein PC 4 GB Windows Updates gezogen und 50% der Leitung blockiert). So viel dazu.
Manche PCs haben einen Stand von 2016 was die Updates angeht, den Rest habe ich händisch und offline erstmal auf einen Stand im August 2017 gebracht.
Mein Problem ist nun, dass ich nicht in jedem Standort einen WSUS Server einrichten kann und über die MPLS Leitungen kann ich keine Updates verteilen, weil dann die Last zu hoch wäre.
Hier sei einmal gesagt, dass im Standort 3+4 keine schnellere Leitung möglich ist, weder MPLS noch DSL.
Im August hab ich ein Update Pack von Winfuture genutzt und so die Updates per USB Stick installiert.
Auf Dauer wäre mir das aber zu doof und ich suche nach einer Möglichkeit, wie ich das sonst umgehen kann. Eine vernünftige Möglichkeit fällt mir da leider nicht ein.
Was ich mir vorstellen könnte wäre, dass ein Tool auf den PCs läuft und die Updates von einem lokalen NAS gezogen werden (NAS ist in den Standorten vorhanden).
Oder das die Winfuture Updatepacks automatisch ausgerollt werden.
Hat jemand vielleicht noch eine Idee? Ich hoffe ich habe nichts vergessen, wenn noch Fragen sind, immer her damit.
Freue mich auf eure Ideen..
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 350999
Url: https://administrator.de/contentid/350999
Printed on: April 19, 2024 at 21:04 o'clock
8 Comments
Latest comment
Moin,
evtl. kannst die Update Packs auf der jeweils Lokalen NAS ablegen und die Installation per GPO beim Hoch- oder herunterfahren der Rechner anstoßen- eine andere Möglichkeit mit den gegebenen Restriktionen sehe ich eigentlich nicht.
lg,
Slainte
evtl. kannst die Update Packs auf der jeweils Lokalen NAS ablegen und die Installation per GPO beim Hoch- oder herunterfahren der Rechner anstoßen- eine andere Möglichkeit mit den gegebenen Restriktionen sehe ich eigentlich nicht.
ein PC 4 GB Windows Updates gezogen und 50% der Leitung blockiert).
Da würde ich euch empfehlen auf den MPLS Routern an den Sites und im DC das ICA und RDP Protokoll priorisieren zu lassen, dann wird die Auswirkung von derartigen Lastspitzen minimiert.lg,
Slainte
Danke für die Antwort.
Wahrscheinlich müssen die Update-Dateien entpackt sein, weil die Winfuture Daten sind .exe Dateien.
Ich werde mir die GPOs mal ansehen und schauen wo ich das konfigurieren kann.
Falls es jemand genau wissen will, diese Packs meinte ich.
http://winfuture.de/downloadvorschalt,2671.html
PS: Bevor die Frage kommt. An den Standorten wird Breitband auf 30Mbit DSL im Jahr 2019/2020 ausgebaut, das wurde vor ein paar Wochen von der Gemeinde bestätigt. Wir wollen halt ungern 2-3 Jahre warten, bis wir bessere Leitungen haben.
Wahrscheinlich müssen die Update-Dateien entpackt sein, weil die Winfuture Daten sind .exe Dateien.
Ich werde mir die GPOs mal ansehen und schauen wo ich das konfigurieren kann.
Falls es jemand genau wissen will, diese Packs meinte ich.
http://winfuture.de/downloadvorschalt,2671.html
PS: Bevor die Frage kommt. An den Standorten wird Breitband auf 30Mbit DSL im Jahr 2019/2020 ausgebaut, das wurde vor ein paar Wochen von der Gemeinde bestätigt. Wir wollen halt ungern 2-3 Jahre warten, bis wir bessere Leitungen haben.
Moin,
Ich würde auf dem lokalen NAS per WSUSOffline die Updates vorhalten und dann regelmäßig per GPO die Clients vom NAS die Updates installieren lassen.
lks
Ich würde auf dem lokalen NAS per WSUSOffline die Updates vorhalten und dann regelmäßig per GPO die Clients vom NAS die Updates installieren lassen.
lks
Hallo,
Schau Dir WSUSOffline an.
Damit einen NAS betanken und per GPO oder halt per Geplanter Aufgabe die Updates installieren lassen.
Schoenes WE.
BFF
Schau Dir WSUSOffline an.
Damit einen NAS betanken und per GPO oder halt per Geplanter Aufgabe die Updates installieren lassen.
Schoenes WE.
BFF
Danke für die Antworten, WSUSOffline werde ich mir mal anschauen 
Was du auch noch tun kannst - einfach mal einen lokalen Proxy für Web-Downloads (http und https) einsetzen mit einem grossen Cache (z.B. Linux Squid mit einigen GB Cache-Size auf der Festplatte). Das würde dir auch bei anderen Downloads helfen sofern diese auf allen Rechnern laufen müssen... (Browser,....)
Hallo,
Besser waere fuer ihn wohl eher ein so genannter UpdateAccelerator, den es fuer verschiedene FW-Distro's gibt.
So ein Teil habe ich jahrelang privat und in Schulen per IPCop mit schmalbandigen Leitungen im Einsatz gehabt.
Da IPCop so gut wie gestorben ist, hier der Nachlese-Link zu dem Teil bei IPFire.
http://wiki.ipfire.org/en/configuration/network/update-booster
Schoenes WE!
BFF
Besser waere fuer ihn wohl eher ein so genannter UpdateAccelerator, den es fuer verschiedene FW-Distro's gibt.
So ein Teil habe ich jahrelang privat und in Schulen per IPCop mit schmalbandigen Leitungen im Einsatz gehabt.
Da IPCop so gut wie gestorben ist, hier der Nachlese-Link zu dem Teil bei IPFire.
http://wiki.ipfire.org/en/configuration/network/update-booster
Schoenes WE!
BFF
Moin,
Gruß,
Dani
Zitat von @maretz:
Was du auch noch tun kannst - einfach mal einen lokalen Proxy für Web-Downloads (http und https) einsetzen mit einem grossen Cache (z.B. Linux Squid mit einigen GB Cache-Size auf der Festplatte). Das würde dir auch bei anderen Downloads helfen sofern diese auf allen Rechnern laufen müssen... (Browser,....)
dazu gibt es im Wiki von Squid auch einen Eintrag, wo die Konfiguration geschrieben wird. Alternativ les dir diesen Blog noch durch.Was du auch noch tun kannst - einfach mal einen lokalen Proxy für Web-Downloads (http und https) einsetzen mit einem grossen Cache (z.B. Linux Squid mit einigen GB Cache-Size auf der Festplatte). Das würde dir auch bei anderen Downloads helfen sofern diese auf allen Rechnern laufen müssen... (Browser,....)
Gruß,
Dani
