14
Windows-Update Server für ein LAN bereitstellen?
Ich habe mehrere Netze, wo mehr als 100 Windows-Clients vertreten sind. Da der Anschluss gerne mal durch Updates blockiert wird suche ich nun nach einer Lösung diesen Traffic einzusparen, sozusagen einmal zu laden und dann im LAN bereitzustellen.
Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Die Clients sind hier natürlich bunt gemischt: Die Mehrheit nutzt Windows 10, es sind aber auch einige 8.1- und 7-Nutzer darunter.
Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Die Clients sind hier natürlich bunt gemischt: Die Mehrheit nutzt Windows 10, es sind aber auch einige 8.1- und 7-Nutzer darunter.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 362239
Url: https://administrator.de/contentid/362239
Printed on: April 23, 2024 at 10:04 o'clock
14 Comments
Latest comment
Recherche spuckte schnell WSUS aus, was mir aber eine Möglichkeit zu sein scheint auf Domänen-PCs Updates zu verteilen. Bei meinen Clients handelt es sich um privates Eigentum von Schülern / Internatlern, die nicht in einem AD sind. Gibt es hier auch eine Lösung?
Entweder deinen WSUS manuell an jedem Device einzeln in die lokale GPO eintragen oder du stellst für alle zentral WSUSoffline bereit: WSUSoffline. Das könntest du z.B. auf einem Share machen, was sich jeder in den Explorer einbindet.LG
tomolpi
Hi.
WSUS setzt keine Domäne voraus. ABER: Du brauchst Zugriffslizenzen.
Win10 verteilt die Updates übrigens selbsttätig untereinander, was ihm den Spitznamen "Botnet-OS" eingebracht hat.
WSUS setzt keine Domäne voraus. ABER: Du brauchst Zugriffslizenzen.
Win10 verteilt die Updates übrigens selbsttätig untereinander, was ihm den Spitznamen "Botnet-OS" eingebracht hat.
Hallo BinaryBear
Ich empfehle dir "Desktop Central - Manage Engine". Diese Lösung ist für gemischte Umgebungen (Windows, MAC, Linux) geeignet. Du kannst damit sowohl OS-Patches wie auch Updates von sehr vielen Softwares einspielen. Das Patch- Management lässt sich auch automatisieren.
Ohne Domäne wird sich aber dein Admin-Aufwand kaum in überschaubaren grenzen halten.
Grüsse
Marc
Ich empfehle dir "Desktop Central - Manage Engine". Diese Lösung ist für gemischte Umgebungen (Windows, MAC, Linux) geeignet. Du kannst damit sowohl OS-Patches wie auch Updates von sehr vielen Softwares einspielen. Das Patch- Management lässt sich auch automatisieren.
Ohne Domäne wird sich aber dein Admin-Aufwand kaum in überschaubaren grenzen halten.
Grüsse
Marc
Hallo.
Ich schließe mich mal @tomolpi an. Per lokaler GPO.
- WSUS aufsetzen
- Hostname, nur als Beispiel "WSUS.DEINEDOMAENE.LOCAL"
- WSUS konfigurieren (Produkte und Klassifizierungen, Genehmigungsregeln u. w. m.)
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand (ebenfalls nur ein Beispiel, denn wenn Dein WSUS als Hostname nicht "WSUS" kriegt, sondern einen anderen Namen, mußt Du den letzten Screenshot natürlich neu machen):
Das funktioniert auch mit Rechnern, die nicht in der Domäne sind, selbst dann, wenn der WSUS selbst sehr wohl Domänenmitglied ist. Die Rechner müssen den WSUS natürlich erreichen können, sich also idealerweise im gleichen Netz befinden, Du musst auf jeden Fall dafür sorgen, daß die Clients auf den WSUS zugreifen können (weil Du von "mehreren Netzen" schreibst).
Das mit den Zugriffs-Cals ist richtig (Hinweis von @DerWoWusste), aber ich vermute, daß Du die ohnehin schon hast, denn vermutlich greifen die genannten Clients doch wohl auch auf andere Ressourcen Deiner Server zu, oder?
EDIT:
Ich vergaß: Nach dieser Einstellung kriegen die Betroffenen auf diesen Privatgeräten keine automatischen Updates mehr, wenn Dein WSUS nicht verfügbar ist (wenn die Schüler also wieder zu Hause sind). Du mußt ihnen dann entweder sagen, daß sie die lokalen GPO-Einstellungen wieder rückgängig machen müssen, oder so vorgehen wie im nachfolgenden Screenshot (zweite rote Umrandung):
Viele Grüße
von
departure69
Ich schließe mich mal @tomolpi an. Per lokaler GPO.
- WSUS aufsetzen
- Hostname, nur als Beispiel "WSUS.DEINEDOMAENE.LOCAL"
- WSUS konfigurieren (Produkte und Klassifizierungen, Genehmigungsregeln u. w. m.)
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand (ebenfalls nur ein Beispiel, denn wenn Dein WSUS als Hostname nicht "WSUS" kriegt, sondern einen anderen Namen, mußt Du den letzten Screenshot natürlich neu machen):
Das funktioniert auch mit Rechnern, die nicht in der Domäne sind, selbst dann, wenn der WSUS selbst sehr wohl Domänenmitglied ist. Die Rechner müssen den WSUS natürlich erreichen können, sich also idealerweise im gleichen Netz befinden, Du musst auf jeden Fall dafür sorgen, daß die Clients auf den WSUS zugreifen können (weil Du von "mehreren Netzen" schreibst).
Das mit den Zugriffs-Cals ist richtig (Hinweis von @DerWoWusste), aber ich vermute, daß Du die ohnehin schon hast, denn vermutlich greifen die genannten Clients doch wohl auch auf andere Ressourcen Deiner Server zu, oder?
EDIT:
Ich vergaß: Nach dieser Einstellung kriegen die Betroffenen auf diesen Privatgeräten keine automatischen Updates mehr, wenn Dein WSUS nicht verfügbar ist (wenn die Schüler also wieder zu Hause sind). Du mußt ihnen dann entweder sagen, daß sie die lokalen GPO-Einstellungen wieder rückgängig machen müssen, oder so vorgehen wie im nachfolgenden Screenshot (zweite rote Umrandung):
Viele Grüße
von
departure69
@departure69
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand
Geht nur mit mind. Professional, nicht mit Home. Die Registrykeys können wir natürlich auch nennen, full service Zitat von @DerWoWusste:
@departure69
@departure69
Und den Schülern gibst Du die nachfolgende Screenshot-Anleitung zur Hand
Geht nur mit mind. Professional, nicht mit Home. Die Registrykeys können wir natürlich auch nennen, full service Na denn:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://<SERVER-IP>"
"WUStatusServer"="http://<SERVER-IP>"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000014
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"IncludeRecommendedUpdates"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:00000258
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000a
Watt denn, kein https? Das ist gefährlich.
Dann braucht er noch eine Anleitung, wie sich die Leuts ein selbstsigniertes Zertifikat installieren...
Hallo,
also die vorgeschlagenen Lösungen über WSUS und die privat-PCs/Laptops von Schülern mit lokalen Gruppenrichtlinien zu vergewaltigen halte ich nicht für praktikabel, da
1) Lizenzen erforderlich sind
2) Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Ein anderer Ansatz wäre beispielsweise, die Updates auf einem transparenten Web-Proxy zu cachen. Squid hat hier beispielsweise eine Doku: https://wiki.squid-cache.org/SquidFaq/WindowsUpdate - weiß aber nicht wie aktuell das momentan ist.
Gruß
also die vorgeschlagenen Lösungen über WSUS und die privat-PCs/Laptops von Schülern mit lokalen Gruppenrichtlinien zu vergewaltigen halte ich nicht für praktikabel, da
1) Lizenzen erforderlich sind
2) Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Ein anderer Ansatz wäre beispielsweise, die Updates auf einem transparenten Web-Proxy zu cachen. Squid hat hier beispielsweise eine Doku: https://wiki.squid-cache.org/SquidFaq/WindowsUpdate - weiß aber nicht wie aktuell das momentan ist.
Gruß
nicht für praktikabel, da... Der WSUS auch von Außen erreichbar sein muss, da die Schüler ja auch im WLAN zu Hause Updates ziehen müssen können.
Das steht nun nirgendwo. Die Schüler sollen "im LAN", also bei ihm Ihre Updates ziehen. Dass sie mit den Geräten auch zu Hause updaten wollen und können, ist ja legitim und weiterhin möglich, wenn man es richtig anstellt.Es fehlen Infos über Dein Setup, BinaryBear.
Grundsätzlich besteht das LAN aus 9 Teilnetzen für einzelne Wohngruppen. Als Verbindung dient ein Sophos UTM, welches via VDSL50-Modem online geht. Für die Mitarbeiter gibt es einen separaten Internetzugang via einer anderen 50MBit/s-Leitung.
Das Problem ist zum einen, dass das Internet so schon recht langsam ist, wenn viele Schüler online gehen. Daher wurde die Internet-Zeit von 15:00 - 00:00 (einzelne Gruppen weichen leicht ab) in soweit aufgeweicht, dass Windows-Updates auch außerhalb dieser Zeit funktionieren, sowie der Schulinterne Mailserver erreichbar ist.
Das hat die Situation aber nur mäßig verbessert, da die meisten Schüler (lobenswerterweise) nicht dauerhaft eingeschaltet lassen, während sie in der Schule sind..
Da ich den Schülern keine Domänenmitgliedschaft oder sonstige Software aufzwingen will und bei den meisten dies durch eine Home-Version auch nicht möglich ist muss da was anderes her.
Derzeit wird da ein wenig umgeplant, sodass ein allgemeiner Zugang für Recherchen dauerhaft möglich ist, währenddessen natürlich auch Dienste wie Updates...
Gibt es denn z.B. die Möglichkeit, dass ich einen Windows 10-Client ins Netz einbinde (virtualisiert beispielsweise), auf diesem dann das Mesh-Update aktiviere und für Windows 10-Client die Verbindung zum normalen Update-Dienst einschränke? Es soll nur nicht darauf hinauslaufen, dass einige Clients keine Updates mehr bekommen...
Das Problem ist zum einen, dass das Internet so schon recht langsam ist, wenn viele Schüler online gehen. Daher wurde die Internet-Zeit von 15:00 - 00:00 (einzelne Gruppen weichen leicht ab) in soweit aufgeweicht, dass Windows-Updates auch außerhalb dieser Zeit funktionieren, sowie der Schulinterne Mailserver erreichbar ist.
Das hat die Situation aber nur mäßig verbessert, da die meisten Schüler (lobenswerterweise) nicht dauerhaft eingeschaltet lassen, während sie in der Schule sind..
Da ich den Schülern keine Domänenmitgliedschaft oder sonstige Software aufzwingen will und bei den meisten dies durch eine Home-Version auch nicht möglich ist muss da was anderes her.
Derzeit wird da ein wenig umgeplant, sodass ein allgemeiner Zugang für Recherchen dauerhaft möglich ist, währenddessen natürlich auch Dienste wie Updates...
Gibt es denn z.B. die Möglichkeit, dass ich einen Windows 10-Client ins Netz einbinde (virtualisiert beispielsweise), auf diesem dann das Mesh-Update aktiviere und für Windows 10-Client die Verbindung zum normalen Update-Dienst einschränke? Es soll nur nicht darauf hinauslaufen, dass einige Clients keine Updates mehr bekommen...
Wenn Du das Peering aus der Deliveryoptimization von Windows nutzt, dann geben sich die Clients untereinander die Updates weiter - klingt das nicht vernnünftig?
Hi,
die Sophos UTM bietet umfangreiche QoS-Optionen (Schnittstellen & Routing > Dienstqualität QoS); du kannst beispielsweise die Bandbreite zu den Windows-Update Servern beschränken - wäre vielleicht auch ein Ansatzpunkt!
Gruß
die Sophos UTM bietet umfangreiche QoS-Optionen (Schnittstellen & Routing > Dienstqualität QoS); du kannst beispielsweise die Bandbreite zu den Windows-Update Servern beschränken - wäre vielleicht auch ein Ansatzpunkt!
Gruß
