25
WSUS übers Internet für externen Zugriff bereitstellen
Hallo bin gerade dabei eine Lösung zu finden um auch Mitarbeiter die für 2-3 Monate nicht in der Firma sind mit Updates zu versorgen.
Wäre es möglich den WSUS dafür Online zu stellen um von überall darauf zu zugreifen?
VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.
Wäre für jede Hilfe oder jeden Vorschlag dankbar
Wäre es möglich den WSUS dafür Online zu stellen um von überall darauf zu zugreifen?
VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.
Wäre für jede Hilfe oder jeden Vorschlag dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201595
Url: https://administrator.de/contentid/201595
Printed on: April 24, 2024 at 11:04 o'clock
25 Comments
Latest comment
Moin moin,
mal ehrlich = warum?
Würde das "normale" Update einstellen, so hast du auch weniger Verkehr an deiner Leitung.
Nur der Überwachung wegen? - Würde es so einstellen, das die Updates sich aut. Downloaden und installieren.
Geht der Rechner weder ins Inet noch in dein Netzwerk, so ist das Update auch nicht von nöten.
greetz
ravers
mal ehrlich = warum?
Würde das "normale" Update einstellen, so hast du auch weniger Verkehr an deiner Leitung.
Nur der Überwachung wegen? - Würde es so einstellen, das die Updates sich aut. Downloaden und installieren.
Geht der Rechner weder ins Inet noch in dein Netzwerk, so ist das Update auch nicht von nöten.
greetz
ravers
Unsere Mitarbeiter sind mal 1 Monat hier dann aber auch mal nen halbes Jahr weg. In diesem halben Jahr würden Sie keine Updates bekommen.
Die Rechner gehen regelmäßig ins Internet und auch in mein Netz.
Über das Online Update haben wir keine Möglichkeit zu schauen ob die Updates gelaufen sind oder nicht, denn die Mitarbeiter starten das Update nicht selbstständig, zumindest einige. Es soll alles kontrolliert uns selbstständig laufen und nur geprüfte Updates installiert werden da wir sonst keinen Support leisten können wenn sie in der Welt unterwegs sind.
Die Rechner gehen regelmäßig ins Internet und auch in mein Netz.
Über das Online Update haben wir keine Möglichkeit zu schauen ob die Updates gelaufen sind oder nicht, denn die Mitarbeiter starten das Update nicht selbstständig, zumindest einige. Es soll alles kontrolliert uns selbstständig laufen und nur geprüfte Updates installiert werden da wir sonst keinen Support leisten können wenn sie in der Welt unterwegs sind.
Hi,
wie gehen die MA den in dein Netz?
Hoffe über eine gesicherte Verbindung (z.B. VPN) - und schwubbs, ist dein Problem weg.
Hier mache ich etwas anders. Lasse alle Updates übers Internet laufen, kommen Sie hier mal rein bekommen Sie über WSUS-Offline die Updates, wenn Updates nicht gemacht wurden bzw. fehlerhaft eingespielt wurden.
Heißt das, das Ihr alle Updates vorher auf Herz und Nieren prüft?
Zitat:
VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.
Wer sagt das? Der IT-Leiter bzw. GF oder die User selbst? Vielleicht haben die dann eine Lösung
Weiterhin könntest du eine Batch erstellen, der dir die Software incl. Updates per Mail zuschickt. Dann händisch überprüfen, und ggf. remote handeln.
Sicherlich keine schöne Lösung!
Daher sehe ich VPN o.ä. als ideale Lösung für euch. Kann man ja auch einfach einrichten.
greetz
ravers
wie gehen die MA den in dein Netz?
Hoffe über eine gesicherte Verbindung (z.B. VPN) - und schwubbs, ist dein Problem weg.
Hier mache ich etwas anders. Lasse alle Updates übers Internet laufen, kommen Sie hier mal rein bekommen Sie über WSUS-Offline die Updates, wenn Updates nicht gemacht wurden bzw. fehlerhaft eingespielt wurden.
Heißt das, das Ihr alle Updates vorher auf Herz und Nieren prüft?
Zitat:
VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.
Wer sagt das? Der IT-Leiter bzw. GF oder die User selbst? Vielleicht haben die dann eine Lösung
Weiterhin könntest du eine Batch erstellen, der dir die Software incl. Updates per Mail zuschickt. Dann händisch überprüfen, und ggf. remote handeln.
Sicherlich keine schöne Lösung!
Daher sehe ich VPN o.ä. als ideale Lösung für euch. Kann man ja auch einfach einrichten.
greetz
ravers
Ins Firmennetz gehen die nur wenn Sie auch hier sind.
VPN wird nicht genutzt.
Wie genau funktioniert dieses WSUS Offline? Kann ich damit auch steuern wer was bekommt und funktioniert das übers LAN oder is das auf jeden Client installiert?
Kann man Updates da vorher prüfen? Und wie sieht denn der Registry Eintrag aus? Beides eintragen geht ja nicht?
Ja wir testen die meisten vorher.
Es soll automatisch laufen da manche User keine großen PC Kenntnisse haben und nicht immmer die VPN Sitzung starten und beenden können oder wollen.
Daher ja die verzweifelte Frage ob ich dem WSUS eine öffentliche IP geben könnte und nach außen erreichbar machen kann?
Würde man das so dicht bekommen das nur ausgewählte Clients drauf zugreifen können? Hab gelesen das ich sonst mit einem öffentlichen WSUS tausende PC drin hätte.
VPN wird nicht genutzt.
Wie genau funktioniert dieses WSUS Offline? Kann ich damit auch steuern wer was bekommt und funktioniert das übers LAN oder is das auf jeden Client installiert?
Kann man Updates da vorher prüfen? Und wie sieht denn der Registry Eintrag aus? Beides eintragen geht ja nicht?
Ja wir testen die meisten vorher.
Es soll automatisch laufen da manche User keine großen PC Kenntnisse haben und nicht immmer die VPN Sitzung starten und beenden können oder wollen.
Daher ja die verzweifelte Frage ob ich dem WSUS eine öffentliche IP geben könnte und nach außen erreichbar machen kann?
Würde man das so dicht bekommen das nur ausgewählte Clients drauf zugreifen können? Hab gelesen das ich sonst mit einem öffentlichen WSUS tausende PC drin hätte.
Hi nochmal,
also mit dem WSUS-Offline - der läd erstmal alle Patches von den gewünschten Systemen herunter.
Da Ihr ja einige/alle testet, könnt ihr diese manuel ggf. aus dem wsusofflineordner löschen.
Es funktioniert über lan - du startest Die ClientUpdate.exe-Datei und der Rechner wird geupdatet mit den Paketen, die Ihm zur Verfügung stehen und nicht installiert sind.
Steuern und Co. ist da nicht (viel).
Sicherlich könntest du deinem WSUS eine öffentliche IP zuwweisen, ob sich da dann tausende PC`s dranhängen möchte ich bezweifeln. Aber es könnte sein ... Ich jedoch würde meine Updates weiterhin von MS ziehen, da weiß ich, was ich bekomme (wenn auch nicht viel Gutes, aber ein unbekannter WSUS - was da alles drauf sein könnte - ich will`s nicht haben)
Also brauchst du eine Art von Authentifizierung an deiner öffentl. IP. Und ob der User nun ein Passwort in einem VPN-Client eingibt oder am FTP oder sonstwo sollte ziemlich egal sein. Aber auch hier kann man den Usern etwas "basteln" das Sie äußerst wenig damit zu tun haben.
Ausgewählte Clients - woran willst du das festmachen? An der IP, sicherlich nicht, auch wenn`s am einfachsten wäre.
Ihr habt Zeit die Updates vorher alle zu prüfen - respekt (und neid) - sonst nix zu tun??
)
OK - mein Vorgehen ist sicherlich auch nicht das Beste (erstmal ca. eine Woche nach dem Patchday den WSUS updaten) - aber alle Anwendungen die wir haben vorher durchzutesten, jeden Monat - dann würde ich nix anderes mehr machen können.
Auch ich habe hier User die wenig bis garnix im IT-Bereich können. Aber das kann man denen recht einfach alles "Batchen" und den Benutzern in Ruhe zeigen/schulen.
Weiterhin eine Arbeitsanweisung, das Sie dies und jenes (z.B. nach bebilderten Handbuch) zu machen haben.
greetz
ravers
also mit dem WSUS-Offline - der läd erstmal alle Patches von den gewünschten Systemen herunter.
Da Ihr ja einige/alle testet, könnt ihr diese manuel ggf. aus dem wsusofflineordner löschen.
Es funktioniert über lan - du startest Die ClientUpdate.exe-Datei und der Rechner wird geupdatet mit den Paketen, die Ihm zur Verfügung stehen und nicht installiert sind.
Steuern und Co. ist da nicht (viel).
Sicherlich könntest du deinem WSUS eine öffentliche IP zuwweisen, ob sich da dann tausende PC`s dranhängen möchte ich bezweifeln. Aber es könnte sein ... Ich jedoch würde meine Updates weiterhin von MS ziehen, da weiß ich, was ich bekomme (wenn auch nicht viel Gutes, aber ein unbekannter WSUS - was da alles drauf sein könnte - ich will`s nicht haben)
Also brauchst du eine Art von Authentifizierung an deiner öffentl. IP. Und ob der User nun ein Passwort in einem VPN-Client eingibt oder am FTP oder sonstwo sollte ziemlich egal sein. Aber auch hier kann man den Usern etwas "basteln" das Sie äußerst wenig damit zu tun haben.
Ausgewählte Clients - woran willst du das festmachen? An der IP, sicherlich nicht, auch wenn`s am einfachsten wäre.
Ihr habt Zeit die Updates vorher alle zu prüfen - respekt (und neid) - sonst nix zu tun??
)OK - mein Vorgehen ist sicherlich auch nicht das Beste (erstmal ca. eine Woche nach dem Patchday den WSUS updaten) - aber alle Anwendungen die wir haben vorher durchzutesten, jeden Monat - dann würde ich nix anderes mehr machen können.
Auch ich habe hier User die wenig bis garnix im IT-Bereich können. Aber das kann man denen recht einfach alles "Batchen" und den Benutzern in Ruhe zeigen/schulen.
Weiterhin eine Arbeitsanweisung, das Sie dies und jenes (z.B. nach bebilderten Handbuch) zu machen haben.
greetz
ravers
Hi.
Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern (per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die WSUS-Einstellungen gesetzt werden. Ganz einfach.
Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern (per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die WSUS-Einstellungen gesetzt werden. Ganz einfach.
Zitat von @DerWoWusste:
Hi.
Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern
(per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die
WSUS-Einstellungen gesetzt werden. Ganz einfach.
Hi.
Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern
(per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die
WSUS-Einstellungen gesetzt werden. Ganz einfach.
Wobei die Überwachung/Kontrolle auch wieder weg wäre und auch alle Updates eingespielt werden. Und somit nix bringt
Einfach war früher
greetz
ravers
Okay dann ist das mit dem WSUS Offline auch nich so das Richtige.
Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.
Habe jetzt die GPO Einstellung "Empfohlene Updates über Automatische Updates aktivieren" gefunden.
Dabei soll er ja wichtige updates über Windows Update laden. Bei wichtigen wäre es ja nicht so tragisch die reichen wir ja auch durch getestet wird ja nur der Rest.
Wäre das eine Möglichkeit? Die Client laden wichtige über das Online Update und den Rest über den WSUS wenn sie im Firmennetz sind.
Hat das schon jemand probiert? Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.
Habe jetzt die GPO Einstellung "Empfohlene Updates über Automatische Updates aktivieren" gefunden.
Dabei soll er ja wichtige updates über Windows Update laden. Bei wichtigen wäre es ja nicht so tragisch die reichen wir ja auch durch getestet wird ja nur der Rest.
Wäre das eine Möglichkeit? Die Client laden wichtige über das Online Update und den Rest über den WSUS wenn sie im Firmennetz sind.
Hat das schon jemand probiert? Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Dabei soll er ja wichtige updates über Windows Update laden
Das verstehst Du gründlich miss. Windows Update ist nicht per se das online Update. Das Mischen von Quellen (Quelle1: eigener WSUS, Quelle2: Microsoft-Internet-WSUS) ist nicht möglich.Ich halte mein Skript für eine vernünftige Lösung, auch wenn sie den von raver angesprochenen Nachteil hat.
Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.
Genau dann, wenn er wieder am Firmennetz ist, kriegst Du das Skript drauf. Jede Anpassung wäre doch erst dann möglich - verstehe den Einwand nicht.Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Klar, der WSUS sieht, welche Updates installiert sind, egal, ob aus dem Internet oder WSUS.
Okay viele Dank jetzt hab ich es verstanden denke ich
Dachte man kann das mischen.
Hat denn vllt jemand so ein ähnliches Skript oder nen vorschlag?
Wäre die Möglichkeit den WSUS mit ner öfftentlichen IP auszustatten auch nicht realisierbar? Denn dann könnte man ja auch von überall drauf zugreifen?
Dachte man kann das mischen.
Hat denn vllt jemand so ein ähnliches Skript oder nen vorschlag?
Wäre die Möglichkeit den WSUS mit ner öfftentlichen IP auszustatten auch nicht realisierbar? Denn dann könnte man ja auch von überall drauf zugreifen?
Öffentliche IP für WSUS - klar, wenn Dir das den Spaß wert ist und Ihr noch öffentliche IPs zur Verfügung habt, warum nicht.
Was verstehst Du nicht an der Skizze des Skriptes, die ich geliefert habe?
Du brauchst: IPs, die Regeinstellungen für beide Fälle (lokal, Internet) und die Pingprüfung - wo hapert es?
Was verstehst Du nicht an der Skizze des Skriptes, die ich geliefert habe?
Du brauchst: IPs, die Regeinstellungen für beide Fälle (lokal, Internet) und die Pingprüfung - wo hapert es?
Wenn das Skript jedes mal beim hochfahren gestartet wird würden ja nur die einstellungen geändert werden in der registy, zeitplan wann nach updates gesucht wird usw wären ja nicht betroffen oder?
Also könnte ich normal per GPO steuern wann der C sucht und installiert?
Bin noch in Ausbildung bin im Skrpiten nich fit deshalb wollte ich nur mal ein Bsp sehen falls es geht. Sorry
Also könnte ich normal per GPO steuern wann der C sucht und installiert?
Bin noch in Ausbildung bin im Skrpiten nich fit deshalb wollte ich nur mal ein Bsp sehen falls es geht. Sorry
In der Registry stehen alle Infos: wo suchen, wann installieren, usw.
Exportier also HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate für jede Konfig einmal.
Exportier also HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate für jede Konfig einmal.
Okay vielen Dank
Aber eine Frage noch: Wie starte ich den diest per skript neu?
Aber eine Frage noch: Wie starte ich den diest per skript neu?
Moin moin,
try this:
net start "windows update"
net stop "windows update"
greetz
ravers
P.S.: Würde sowas zum "Grundwissen" zählen
try this:
net start "windows update"
net stop "windows update"
greetz
ravers
P.S.: Würde sowas zum "Grundwissen" zählen
Nein sorry falsch ausgedrückt.
Ich meinte dieses wuauclt.exe.
Da gibt es ja mehrer parameter /resetauthorization /detectnow /reportnow /ShowWU
Das müsste doch auch vom Skript gestartet werden oder?
Wäre sonst eine andere Möglichkeit auch die, die Notebokks vom Online Update zu betanken aber als Report oder Status Server den WSUS einzutragen? So dass ich wenn die Notebooks im Firmennetz sind eine Auswertung auf dem WSUS bekomme?
Sorry für die vielen Fragen
Ich meinte dieses wuauclt.exe.
Da gibt es ja mehrer parameter /resetauthorization /detectnow /reportnow /ShowWU
Das müsste doch auch vom Skript gestartet werden oder?
Wäre sonst eine andere Möglichkeit auch die, die Notebokks vom Online Update zu betanken aber als Report oder Status Server den WSUS einzutragen? So dass ich wenn die Notebooks im Firmennetz sind eine Auswertung auf dem WSUS bekomme?
Sorry für die vielen Fragen
Nö, muss nicht gestartet werden, da ein Neustart des Dienstes meines Wissens immer einen Detect nach sich zieht.
Sonst: wuauclt /detectnow
Zum letzten Absatz: kannst Du machen, aber warum nicht in der Firma alles auf WSUS umschalten, Updates sowie Reporting?
Sonst: wuauclt /detectnow
Zum letzten Absatz: kannst Du machen, aber warum nicht in der Firma alles auf WSUS umschalten, Updates sowie Reporting?
Okay das ist super.
Ja also alle Rechner die hier sind und nicht unterwegs sind bekommen weiterhin Updates über den WSUS.
Die Notebooks die unterwegs sind bekommen dann Online Updates und sollen nur den Bericht an den WSUS senden wenn die mal hier im Netz sind. Das wäre meine überlegung.
Ja also alle Rechner die hier sind und nicht unterwegs sind bekommen weiterhin Updates über den WSUS.
Die Notebooks die unterwegs sind bekommen dann Online Updates und sollen nur den Bericht an den WSUS senden wenn die mal hier im Netz sind. Das wäre meine überlegung.
Habs gerade mal probiert. Klappt aber nicht, weil wenn der Client die Updates Online zieht, sich nich am WSUS registiert.
Hab ihm zwar den WUStatusServer eingetragen aber er schickt keinen Bericht
Hab ihm zwar den WUStatusServer eingetragen aber er schickt keinen Bericht
Bericht=Report. Stell das Reporting auf den WSUS, starte den Dinest neu und nach einer Installation bitte ein wuauclt /reportnow zur Sicherheit absetzen und danach auf dem WSUS checken, wann der letzt e Report war, sprich: ob dieser jetzige angekommen ist.
Okay Danke. Aber den reg eintrag finde ich irgendwie nich. Hab nur WUServer und WUStatusServer 
So. Folgendes: Warum darüber überhaupt einen Kopf machen?
Stell alles auf WSUS, wenn in der Firma, stell es auf Internet, wenn WSUS nicht erreichbar. Wenn nach internetupdate wieder in der Firma, dann macht er doch ein Reporting und falls Patches warum auch immer fehlen sollten, dann bekommt er sie doch dann.
Sieh kein Problem wo keines ist.
Stell alles auf WSUS, wenn in der Firma, stell es auf Internet, wenn WSUS nicht erreichbar. Wenn nach internetupdate wieder in der Firma, dann macht er doch ein Reporting und falls Patches warum auch immer fehlen sollten, dann bekommt er sie doch dann.
Sieh kein Problem wo keines ist.
Dazu müsste ich die Skriptlösung nehmen und dazu bräuchten die User ja dann Admin Rechte um in die Registry zu schreiben und den Dienst zu starten.
Dann hab ich mal überlegt wenn die Notebooks in der Firma über Wlan ins Netz gehen darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft da sonst der Wsus auch nicht angepingt werden kann und alle Online ziehen würden.
Deshalb wäre es gut wenn das mit dem Report irgendwie gehen würde dann könnten die Notebooks über das Online Update ziehen aber den Report an den WSUS schicken
Dann hab ich mal überlegt wenn die Notebooks in der Firma über Wlan ins Netz gehen darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft da sonst der Wsus auch nicht angepingt werden kann und alle Online ziehen würden.
Deshalb wäre es gut wenn das mit dem Report irgendwie gehen würde dann könnten die Notebooks über das Online Update ziehen aber den Report an den WSUS schicken
Meine Lösungen sind in der Regel zu Ende gedacht
Von Anfang an sprach ich von einem Startskript, keinem Anmeldeskript. Unterschied: Startskript läuft nicht mit Userrechten, sondern mit Systemrechten und kann überallhin schreiben und alles tun, was es will.
Zu
Task anheften an Ereignis... ach was red ich, ich exportier mal so einen Task, warte eine Minute.
Von Anfang an sprach ich von einem Startskript, keinem Anmeldeskript. Unterschied: Startskript läuft nicht mit Userrechten, sondern mit Systemrechten und kann überallhin schreiben und alles tun, was es will.
Zu
darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft
Dann muss das Skript eben gegen einen geplanten Task getauscht werden, der mit Systemrechten läuft und netzwerkstartabhängig getriggert wird, das geht!Task anheften an Ereignis... ach was red ich, ich exportier mal so einen Task, warte eine Minute.
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Date>2013-02-11T16:51:04.2550004</Date>
<Author>Domainname\Meinname</Author>
</RegistrationInfo>
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription><QueryList><Query Id="0" Path="Microsoft-Windows-NetworkProfile/Operational"><Select Path="Microsoft-Windows-NetworkProfile/Operational">*[System[Provider[@Name='Microsoft-Windows-NetworkProfile'] and EventID=10000]]</Select></Query></QueryList></Subscription>
</EventTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>SYSTEM</UserId>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>DeineBatch</Command>
</Exec>
</Actions>
</Task>
