askando
Goto Top

WSUS - Sinnvoll integrieren

Hallo Zusammen,

nach einer kompletten Umstruktierung unserer Landschaft (mehrere Standorte) über vpn verbunden, plane ich nun mein Update Management.
Ich habe an jedem Standort eine Domain, jedoch ohne Vertrauensstellungen.
Zudem gibt es ca 20 Außendienstler die in unterschiedlichen Intervallen zu ihren jeweiligen Standorten kommen.

Ich gedenke jetzt die Notebooks der Außendienstler vom WSUS auszuschließen, da das Updateintervall mir nicht schnell genug ist. Es kann also in dem Fall sein, dass die Notebooks kritische Updates 2-3 Wochen nicht installieren, weil sie keine Verbindung zur Domain haben.

Für jeden Standort will ich einen eigenen WSUS konfigurieren, da 1. keine Vertrauensstellung besteht und 2. Ich mir den Upload vom Hauptstandort sparen möchte.


zum Vorgehen:
Ich habe früher des öfteren WSUS Rollen installiert und betrieben, bin jetzt gerade nur nicht mehr sicher was die Clientregistrierung angeht.
Nachdem ich auf einem Memberserver den WSUS installiert und konfiguriert habe, - muss ich lediglich am client den Befehl "Wuauclt/detectnow" eingeben und der jeweilige Client registriert sich im WSUS der domain und ist danach unter unzugeordnete Computer zu finden, richtig?
Das heißt ein Client zieht solange selber die Updates direkt von Microsoft solange ich ihn nicht manuell zugewiesen habe?

Bei den Notebooks die dann halt nicht am Wsus registriert werden besteht dann jedoch das Problem, das bei fehlerhaften Updates die diese automatisch installieren.
Das würde ich dann manuell an den clients mit dem ms tool WUShowHide.diagcab lösen.

Habt ihr noch Hinweise oder Tipps für mich ? vielen Dank!

Content-ID: 351825

Url: https://administrator.de/forum/wsus-sinnvoll-integrieren-351825.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

sabines
sabines 16.10.2017 aktualisiert um 08:26:05 Uhr
Goto Top
Moin,

die Bekanntmachung des WSUS machst Du am besten über eine GPO und nicht manuell.
Diese GPO verteilst Du nicht an die Notebooks, hier arbeitest Du mit einer weiteren GPO und mit direkten Updates von MS, das Risiko musst Du einfach abwägen.

Computerkonfiguration
Richtlinien
Administrative Vorlagen
Windows-Komponenten/Windows Update


Gruss
emeriks
emeriks 16.10.2017 aktualisiert um 08:28:53 Uhr
Goto Top
Hi,
... da 1. keine Vertrauensstellung besteht
Was auch vollkommen irrelevant ist.
... und 2. Ich mir den Upload vom Hauptstandort sparen möchte.
Wenn Du bloß den Upload siehst, dann ok. Was ist jedoch mit der Verwaltung der freigegeben Updates? Willst Du das überall unabhängig verwalten? Sprich x-facher Aufwand?
Nachdem ich auf einem Memberserver den WSUS installiert und konfiguriert habe, - muss ich lediglich am client den Befehl "Wuauclt/detectnow" eingeben und der jeweilige Client registriert sich im WSUS der domain und ist danach unter unzugeordnete Computer zu finden, richtig?
Nein. Man muss den Clients schon angeben, welchen WSUS-Server sie benutzen sollen. Am einfachsten per GPO.
Das heißt ein Client zieht solange selber die Updates direkt von Microsoft solange ich ihn nicht manuell zugewiesen habe?
Ja. Sofern eine verbindung möglich ist. (Proxy usw.)

E.
MasterBlaster88
MasterBlaster88 16.10.2017 aktualisiert um 08:30:10 Uhr
Goto Top
Moin,
Du kannst auch die Kommunikation mit dem WSUS ohne vertrauensstellung machen. Du brauchst bloß das Zertifikat des Wsus im Certstor des Clients und die richtigen Einstellungen. Wsus adresse (Achtung FQDN) und Port.
Gibts ein paar nette TechNet Artikel dazu.
Wir updaten auch nondomain clients mit WSUS Server.

Dann sparst du dir das betreiben von mehreren WSUS.

Dazu kann ich in den dezentralen Standorten eine Art Branch Cache( Clientseitig oder hosted, ganz egal) empfehlen. Dann wird die WAN Leitung nicht so zugezogen.