Windows-Update Server für ein LAN bereitstellen?
Ich habe mehrere Netze, wo mehr als 100 Windows-Clients vertreten sind. Da der Anschluss gerne mal durch Updates blockiert wird suche ich nun nach einer Lösung diesen Traffic einzusparen, sozusagen einmal zu laden und dann im LAN bereitzustellen.
Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Die Clients sind hier natürlich bunt gemischt: Die Mehrheit nutzt Windows 10, es sind aber auch einige 8.1- und 7-Nutzer darunter.
Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Die Clients sind hier natürlich bunt gemischt: Die Mehrheit nutzt Windows 10, es sind aber auch einige 8.1- und 7-Nutzer darunter.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 362239
Url: https://administrator.de/contentid/362239
Ausgedruckt am: 08.11.2024 um 09:11 Uhr
14 Kommentare
Neuester Kommentar
Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Entweder deinen WSUS manuell an jedem Device einzeln in die lokale GPO eintragen oder du stellst für alle zentral WSUSoffline bereit: WSUSoffline. Das könntest du z.B. auf einem Share machen, was sich jeder in den Explorer einbindet.LG
tomolpi
Hallo BinaryBear
Ich empfehle dir "Desktop Central - Manage Engine". Diese Lösung ist für gemischte Umgebungen (Windows, MAC, Linux) geeignet. Du kannst damit sowohl OS-Patches wie auch Updates von sehr vielen Softwares einspielen. Das Patch- Management lässt sich auch automatisieren.
Ohne Domäne wird sich aber dein Admin-Aufwand kaum in überschaubaren grenzen halten.
Grüsse
Marc
Ich empfehle dir "Desktop Central - Manage Engine". Diese Lösung ist für gemischte Umgebungen (Windows, MAC, Linux) geeignet. Du kannst damit sowohl OS-Patches wie auch Updates von sehr vielen Softwares einspielen. Das Patch- Management lässt sich auch automatisieren.
Ohne Domäne wird sich aber dein Admin-Aufwand kaum in überschaubaren grenzen halten.
Grüsse
Marc
Hallo.
Ich schließe mich mal @tomolpi an. Per lokaler GPO.
- WSUS aufsetzen
- Hostname, nur als Beispiel "WSUS.DEINEDOMAENE.LOCAL"
- WSUS konfigurieren (Produkte und Klassifizierungen, Genehmigungsregeln u. w. m.)
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand (ebenfalls nur ein Beispiel, denn wenn Dein WSUS als Hostname nicht "WSUS" kriegt, sondern einen anderen Namen, mußt Du den letzten Screenshot natürlich neu machen):
Das funktioniert auch mit Rechnern, die nicht in der Domäne sind, selbst dann, wenn der WSUS selbst sehr wohl Domänenmitglied ist. Die Rechner müssen den WSUS natürlich erreichen können, sich also idealerweise im gleichen Netz befinden, Du musst auf jeden Fall dafür sorgen, daß die Clients auf den WSUS zugreifen können (weil Du von "mehreren Netzen" schreibst).
Das mit den Zugriffs-Cals ist richtig (Hinweis von @DerWoWusste), aber ich vermute, daß Du die ohnehin schon hast, denn vermutlich greifen die genannten Clients doch wohl auch auf andere Ressourcen Deiner Server zu, oder?
EDIT:
Ich vergaß: Nach dieser Einstellung kriegen die Betroffenen auf diesen Privatgeräten keine automatischen Updates mehr, wenn Dein WSUS nicht verfügbar ist (wenn die Schüler also wieder zu Hause sind). Du mußt ihnen dann entweder sagen, daß sie die lokalen GPO-Einstellungen wieder rückgängig machen müssen, oder so vorgehen wie im nachfolgenden Screenshot (zweite rote Umrandung):
Viele Grüße
von
departure69
Ich schließe mich mal @tomolpi an. Per lokaler GPO.
- WSUS aufsetzen
- Hostname, nur als Beispiel "WSUS.DEINEDOMAENE.LOCAL"
- WSUS konfigurieren (Produkte und Klassifizierungen, Genehmigungsregeln u. w. m.)
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand (ebenfalls nur ein Beispiel, denn wenn Dein WSUS als Hostname nicht "WSUS" kriegt, sondern einen anderen Namen, mußt Du den letzten Screenshot natürlich neu machen):
Das funktioniert auch mit Rechnern, die nicht in der Domäne sind, selbst dann, wenn der WSUS selbst sehr wohl Domänenmitglied ist. Die Rechner müssen den WSUS natürlich erreichen können, sich also idealerweise im gleichen Netz befinden, Du musst auf jeden Fall dafür sorgen, daß die Clients auf den WSUS zugreifen können (weil Du von "mehreren Netzen" schreibst).
Das mit den Zugriffs-Cals ist richtig (Hinweis von @DerWoWusste), aber ich vermute, daß Du die ohnehin schon hast, denn vermutlich greifen die genannten Clients doch wohl auch auf andere Ressourcen Deiner Server zu, oder?
EDIT:
Ich vergaß: Nach dieser Einstellung kriegen die Betroffenen auf diesen Privatgeräten keine automatischen Updates mehr, wenn Dein WSUS nicht verfügbar ist (wenn die Schüler also wieder zu Hause sind). Du mußt ihnen dann entweder sagen, daß sie die lokalen GPO-Einstellungen wieder rückgängig machen müssen, oder so vorgehen wie im nachfolgenden Screenshot (zweite rote Umrandung):
Viele Grüße
von
departure69
@departure69
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand
Geht nur mit mind. Professional, nicht mit Home. Die Registrykeys können wir natürlich auch nennen, full service Zitat von @DerWoWusste:
@departure69
@departure69
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand
Geht nur mit mind. Professional, nicht mit Home. Die Registrykeys können wir natürlich auch nennen, full service Na denn:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://<SERVER-IP>"
"WUStatusServer"="http://<SERVER-IP>"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000014
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"IncludeRecommendedUpdates"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:00000258
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000a
Dann braucht er noch eine Anleitung, wie sich die Leuts ein selbstsigniertes Zertifikat installieren...
Hallo,
also die vorgeschlagenen Lösungen über WSUS und die privat-PCs/Laptops von Schülern mit lokalen Gruppenrichtlinien zu vergewaltigen halte ich nicht für praktikabel, da
1) Lizenzen erforderlich sind
2) Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Ein anderer Ansatz wäre beispielsweise, die Updates auf einem transparenten Web-Proxy zu cachen. Squid hat hier beispielsweise eine Doku: https://wiki.squid-cache.org/SquidFaq/WindowsUpdate - weiß aber nicht wie aktuell das momentan ist.
Gruß
also die vorgeschlagenen Lösungen über WSUS und die privat-PCs/Laptops von Schülern mit lokalen Gruppenrichtlinien zu vergewaltigen halte ich nicht für praktikabel, da
1) Lizenzen erforderlich sind
2) Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Ein anderer Ansatz wäre beispielsweise, die Updates auf einem transparenten Web-Proxy zu cachen. Squid hat hier beispielsweise eine Doku: https://wiki.squid-cache.org/SquidFaq/WindowsUpdate - weiß aber nicht wie aktuell das momentan ist.
Gruß
nicht für praktikabel, da... Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Das steht nun nirgendwo. Die Schüler sollen "im LAN", also bei ihm Ihre Updates ziehen. Dass sie mit den Geräten auch zu Hause updaten wollen und können, ist ja legitim und weiterhin möglich, wenn man es richtig anstellt.Es fehlen Infos über Dein Setup, BinaryBear.