binarybear
Goto Top

Windows-Update Server für ein LAN bereitstellen?

Ich habe mehrere Netze, wo mehr als 100 Windows-Clients vertreten sind. Da der Anschluss gerne mal durch Updates blockiert wird suche ich nun nach einer Lösung diesen Traffic einzusparen, sozusagen einmal zu laden und dann im LAN bereitzustellen.

Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?

Die Clients sind hier natürlich bunt gemischt: Die Mehrheit nutzt Windows 10, es sind aber auch einige 8.1- und 7-Nutzer darunter.

Content-ID: 362239

Url: https://administrator.de/contentid/362239

Ausgedruckt am: 21.11.2024 um 14:11 Uhr

tomolpi
tomolpi 24.01.2018 aktualisiert um 18:34:38 Uhr
Goto Top
Zitat von @BinaryBear:

Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Entweder deinen WSUS manuell an jedem Device einzeln in die lokale GPO eintragen oder du stellst für alle zentral WSUSoffline bereit: WSUSoffline. Das könntest du z.B. auf einem Share machen, was sich jeder in den Explorer einbindet.

LG

tomolpi
DerWoWusste
DerWoWusste 24.01.2018 um 18:38:29 Uhr
Goto Top
Hi.

WSUS setzt keine Domäne voraus. ABER: Du brauchst Zugriffslizenzen.
Win10 verteilt die Updates übrigens selbsttätig untereinander, was ihm den Spitznamen "Botnet-OS" eingebracht hat.
marc-1303
marc-1303 25.01.2018 um 07:34:47 Uhr
Goto Top
Hallo BinaryBear

Ich empfehle dir "Desktop Central - Manage Engine". Diese Lösung ist für gemischte Umgebungen (Windows, MAC, Linux) geeignet. Du kannst damit sowohl OS-Patches wie auch Updates von sehr vielen Softwares einspielen. Das Patch- Management lässt sich auch automatisieren.

Ohne Domäne wird sich aber dein Admin-Aufwand kaum in überschaubaren grenzen halten.

Grüsse
Marc
departure69
departure69 25.01.2018 aktualisiert um 08:38:01 Uhr
Goto Top
Hallo.

Ich schließe mich mal @tomolpi an. Per lokaler GPO.

- WSUS aufsetzen
- Hostname, nur als Beispiel "WSUS.DEINEDOMAENE.LOCAL"
- WSUS konfigurieren (Produkte und Klassifizierungen, Genehmigungsregeln u. w. m.)

Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand (ebenfalls nur ein Beispiel, denn wenn Dein WSUS als Hostname nicht "WSUS" kriegt, sondern einen anderen Namen, mußt Du den letzten Screenshot natürlich neu machen):

wsuslokal01

wsuslokal02

wsuslokal03

wsuslokal04

wsuslokal05

Das funktioniert auch mit Rechnern, die nicht in der Domäne sind, selbst dann, wenn der WSUS selbst sehr wohl Domänenmitglied ist. Die Rechner müssen den WSUS natürlich erreichen können, sich also idealerweise im gleichen Netz befinden, Du musst auf jeden Fall dafür sorgen, daß die Clients auf den WSUS zugreifen können (weil Du von "mehreren Netzen" schreibst).

Das mit den Zugriffs-Cals ist richtig (Hinweis von @DerWoWusste), aber ich vermute, daß Du die ohnehin schon hast, denn vermutlich greifen die genannten Clients doch wohl auch auf andere Ressourcen Deiner Server zu, oder?

EDIT:

Ich vergaß: Nach dieser Einstellung kriegen die Betroffenen auf diesen Privatgeräten keine automatischen Updates mehr, wenn Dein WSUS nicht verfügbar ist (wenn die Schüler also wieder zu Hause sind). Du mußt ihnen dann entweder sagen, daß sie die lokalen GPO-Einstellungen wieder rückgängig machen müssen, oder so vorgehen wie im nachfolgenden Screenshot (zweite rote Umrandung):

wsuslokal06

Viele Grüße

von

departure69
DerWoWusste
DerWoWusste 25.01.2018 um 08:50:11 Uhr
Goto Top
@departure69
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand
Geht nur mit mind. Professional, nicht mit Home. Die Registrykeys können wir natürlich auch nennen, full service face-wink
departure69
departure69 25.01.2018 um 09:00:31 Uhr
Goto Top
Zitat von @DerWoWusste:

@departure69
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand
Geht nur mit mind. Professional, nicht mit Home. Die Registrykeys können wir natürlich auch nennen, full service face-wink


Na denn:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001  
"WUServer"="http://<SERVER-IP>"  
"WUStatusServer"="http://<SERVER-IP>"  
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAUShutdownOption"=dword:00000000  
"NoAUAsDefaultShutdownOption"=dword:00000001  
"NoAutoUpdate"=dword:00000000  
"AUOptions"=dword:00000004  
"ScheduledInstallDay"=dword:00000000  
"ScheduledInstallTime"=dword:00000014  
"NoAutoRebootWithLoggedOnUsers"=dword:00000001  
"AutoInstallMinorUpdates"=dword:00000001  
"IncludeRecommendedUpdates"=dword:00000001  
"RebootWarningTimeoutEnabled"=dword:00000001  
"RebootWarningTimeout"=dword:0000001e  
"RebootRelaunchTimeoutEnabled"=dword:00000001  
"RebootRelaunchTimeout"=dword:00000258  
"UseWUServer"=dword:00000001  
"RescheduleWaitTimeEnabled"=dword:00000001  
"RescheduleWaitTime"=dword:00000001  
"DetectionFrequencyEnabled"=dword:00000001  
"DetectionFrequency"=dword:0000000a  
DerWoWusste
DerWoWusste 25.01.2018 um 09:10:17 Uhr
Goto Top
Watt denn, kein https? Das ist gefährlich.
tomolpi
tomolpi 25.01.2018 um 11:42:02 Uhr
Goto Top
Zitat von @DerWoWusste:

Watt denn, kein https? Das ist gefährlich.
Dann braucht er noch eine Anleitung, wie sich die Leuts ein selbstsigniertes Zertifikat installieren...
Rudbert
Rudbert 25.01.2018 um 11:49:47 Uhr
Goto Top
Hallo,


also die vorgeschlagenen Lösungen über WSUS und die privat-PCs/Laptops von Schülern mit lokalen Gruppenrichtlinien zu vergewaltigen halte ich nicht für praktikabel, da

1) Lizenzen erforderlich sind
2) Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.


Ein anderer Ansatz wäre beispielsweise, die Updates auf einem transparenten Web-Proxy zu cachen. Squid hat hier beispielsweise eine Doku: https://wiki.squid-cache.org/SquidFaq/WindowsUpdate - weiß aber nicht wie aktuell das momentan ist.


Gruß
DerWoWusste
DerWoWusste 25.01.2018 um 11:50:56 Uhr
Goto Top
DerWoWusste
DerWoWusste 25.01.2018 um 11:54:02 Uhr
Goto Top
nicht für praktikabel, da... Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Das steht nun nirgendwo. Die Schüler sollen "im LAN", also bei ihm Ihre Updates ziehen. Dass sie mit den Geräten auch zu Hause updaten wollen und können, ist ja legitim und weiterhin möglich, wenn man es richtig anstellt.

Es fehlen Infos über Dein Setup, BinaryBear.
BinaryBear
BinaryBear 26.01.2018 um 10:14:07 Uhr
Goto Top
Grundsätzlich besteht das LAN aus 9 Teilnetzen für einzelne Wohngruppen. Als Verbindung dient ein Sophos UTM, welches via VDSL50-Modem online geht. Für die Mitarbeiter gibt es einen separaten Internetzugang via einer anderen 50MBit/s-Leitung.

Das Problem ist zum einen, dass das Internet so schon recht langsam ist, wenn viele Schüler online gehen. Daher wurde die Internet-Zeit von 15:00 - 00:00 (einzelne Gruppen weichen leicht ab) in soweit aufgeweicht, dass Windows-Updates auch außerhalb dieser Zeit funktionieren, sowie der Schulinterne Mailserver erreichbar ist.

Das hat die Situation aber nur mäßig verbessert, da die meisten Schüler (lobenswerterweise) nicht dauerhaft eingeschaltet lassen, während sie in der Schule sind..

Da ich den Schülern keine Domänenmitgliedschaft oder sonstige Software aufzwingen will und bei den meisten dies durch eine Home-Version auch nicht möglich ist muss da was anderes her.
Derzeit wird da ein wenig umgeplant, sodass ein allgemeiner Zugang für Recherchen dauerhaft möglich ist, währenddessen natürlich auch Dienste wie Updates...

Gibt es denn z.B. die Möglichkeit, dass ich einen Windows 10-Client ins Netz einbinde (virtualisiert beispielsweise), auf diesem dann das Mesh-Update aktiviere und für Windows 10-Client die Verbindung zum normalen Update-Dienst einschränke? Es soll nur nicht darauf hinauslaufen, dass einige Clients keine Updates mehr bekommen...
DerWoWusste
DerWoWusste 26.01.2018 um 10:52:50 Uhr
Goto Top
Wenn Du das Peering aus der Deliveryoptimization von Windows nutzt, dann geben sich die Clients untereinander die Updates weiter - klingt das nicht vernnünftig?
Rudbert
Rudbert 26.01.2018 um 11:06:07 Uhr
Goto Top
Hi,

die Sophos UTM bietet umfangreiche QoS-Optionen (Schnittstellen & Routing > Dienstqualität QoS); du kannst beispielsweise die Bandbreite zu den Windows-Update Servern beschränken - wäre vielleicht auch ein Ansatzpunkt!

Gruß