franksig
Goto Top

WSUS von "Hand" befüllen

Ausgangssituation:

mehrere Standorte die kein Internet haben (konfiguration ist bei allen Standorten gleich) sollen jetzt mit WSUS ausgestattet werden

meine Idee ist es:

Auf meinem Test-system die Sicherheitsupdates zu testen
diese dann irgendwie packen und per Platte oder Stick auf die Standorte auszurollen

habt ihr da eine Idee ? geht sowas überhaupt ?

Content-ID: 571008

Url: https://administrator.de/forum/wsus-von-hand-befuellen-571008.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 11.05.2020 um 09:37:48 Uhr
Goto Top
Moin,

dann müsstest du alle Update von Hand einpflegen. Was möglicherweise auch per Script ginge.
Besser und einfacher wäre eine Wsus VM als Downstream Server zu nutzen und in den Standorten ins Netz zu hängen. Der Lokale Wsus muss dann nur einmal mit der VM synchronisiert werden.

Gruß
Spirit
tomolpi
tomolpi 11.05.2020 um 10:45:09 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
dann müsstest du alle Update von Hand einpflegen. Was möglicherweise auch per Script ginge.
Besser und einfacher wäre eine Wsus VM als Downstream Server zu nutzen und in den Standorten ins Netz zu hängen. Der Lokale Wsus muss dann nur einmal mit der VM synchronisiert werden.
Genau so würde ich das auch machen. Das lässt du über Nacht laufen und gut ist face-smile.
franksig
franksig 11.05.2020 um 10:59:51 Uhr
Goto Top
ok Vielen Dank für den Tipp. Jetzt nur noch eine Frage dann schau ich mir mal an wie das skriptieren kann denn die Standorte haben bis jetzt noch kein WSUS.

Ich habe hier ein referenzsystem dass quasi als MAster gilt. wenn ich jetzt dort die Updates teste und "approve" könnte ich die auch "exportieren'" und am Ziel einspielen ?
Spirit-of-Eli
Spirit-of-Eli 11.05.2020 um 11:10:00 Uhr
Goto Top
Du hast das Thema glaub ich noch nicht ganz verstanden. Außerdem bezieht sich deine Frage oben ja auf den "Wsus".
Was heißt für dich einspielen? Meinst du auf den Clients direkt?

Die Einfachste Lösung ist schlicht eine VM mit einem Wsus herum zu tragen und die Wsus Installation an den Standorten damit zu betanken.
Ansonsten kannst du auch gleich auf allen Clients und Servern händisch jedesmal das Kumulative UpdatePack installieren.
franksig
franksig 11.05.2020 um 11:13:01 Uhr
Goto Top
ok dann habe ich das nicht richtig geschrieben sorry dafür

mit einspielen meine ich die "approve" Updates in die WSUS DB an dem jeweiligen Standort in den WSUS dort einpflegen/einspielen wie auch immer face-smile
Spirit-of-Eli
Spirit-of-Eli 11.05.2020 um 11:53:40 Uhr
Goto Top
Das funktioniert mit einer VM besser, da für den Downstream Wsus definiert werden kann, das er dir approved Updates vom Upstream Server übernehmen soll. Dann läuft das ganze automatisch ohne irgend ein gebastel und quasi so, als eine statische Vernetzung der Wsus Server geben wäre.

Du kannst das ganze bestimmt auch händisch machen. Das will aber eigentlich niemand, da es viel zu viel Zeit in Anspruch nehmen würde.
em-pie
em-pie 11.05.2020 um 12:46:50 Uhr
Goto Top
Moin,

wie von meinen Vorredner schon beschrieben würde ich wie folgt vorgehen:
  • Aktuellen WSUS im Hauptstandort so belassen
  • Weiteren WSUS aufsetzen (VM), welcher sich initial die Updates vom Haupt-WSUS abholt
  • Mit der VM "spazieren" fahren und den örtlichen WSUS als DownStream-Server an der VM anbinden
  • Wenn das durch ist, den örtlichen Server als DownStream-Server an den WSUS in der zentrale anbinden (ich nehme mal an, VPN ist gegeben?)
  • Die Schritte 3 und 4 für jeden Standort wiederholen.

Wenn du dann später am Hauptstandort die Updates freigibst, bekommen die "untergeordneten" WSUS' die Info mit und verteilen die Updates dann am jeweiligen Standort. Das Synchronisieren zwischen "Master-" und "Slave-" Server kann man zeitlich einstelen, soweit ich weiss. Somit sollten die Updates nur Nachts vom Hauptstandort "abgeholt" werden und das Netz bleibt für die Produktive Nutzung verfügbar.

Gruß
em-pie
franksig
franksig 11.05.2020 um 12:52:42 Uhr
Goto Top
Ok habe ich verstanden
Vielen Danke für die schnelle hilfe
meine Aufgabe besteht nun darin

in den remote Standorten den WSUS mit Powershell einzurichten
und als Downstream-Server den VM Server einzurichten
und dann mit einem Notebook dahin zu karren und die Updates dort vom Downstream-Server rüber zu schieben
und dem Remote WSUS sagen "verteil" alles
2020-05-11 12_49_00-präsentation1 - powerpoint
franksig
franksig 11.05.2020 um 14:33:21 Uhr
Goto Top
ok den Haupt WSUS den du meinst ist der am Hauptstandort oder?
franksig
franksig 11.05.2020 um 14:35:30 Uhr
Goto Top
quasi so wie in der Zeichnung
2020-05-11 14_34_58-präsentation1 - powerpoint
Spirit-of-Eli
Lösung Spirit-of-Eli 11.05.2020 um 14:39:44 Uhr
Goto Top
Ja genau. Jetzt sieht es richtig aus.
franksig
franksig 11.05.2020 um 14:50:00 Uhr
Goto Top
Ok Danke euch allen für die Hilfe !!
franksig
franksig 12.05.2020 um 11:11:29 Uhr
Goto Top
Hallo nochmal kurz,

wäre auch der Weg möglich über Export und Import der DB ?

Microsoft schriebt hier folgendes dazu

import und Export WSUS Metadaten

das würde sich glaub besser skripten lassen und dauert evtl nicht so lange
Ingenieurs
Ingenieurs 12.05.2020 um 11:26:12 Uhr
Goto Top
Hier wäre dann noch die Notlösung falls man das ganze händisch machen muss (falls die andere Methode warum auch immer nicht klappt etc)

$MSUfile = 'PFAD ZUR DATEI\DATEI.msu'  
(Get-WsusServer).ImportUpdateFromCatalogSite(
    'UPDATEID',  
    $MSUfile
)
# Find the imported file
(Get-WsusServer).SearchUpdates('UPDATEKB') | fl *  
pause

In der Powershell. Den Pfad zur Datei, die UpdateID und die UpdateKB müssen noch eingetragen werden. Da könntest du dann auch ansetzen und den Teil auch automatisieren.
Eventuell brauchst du noch ActiveX

$HT = @{
 FilePath = 'C:\Program Files (x86)\Internet Explorer\iexplore.exe' ;  
 ArgumentList = 'http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3125574' ;  
 Verb = 'Runas'  
}
Start-Process @HT

Das wäre dann hiermit zur Installation getriggerd

Viele Grüße
franksig
franksig 12.05.2020 um 14:03:43 Uhr
Goto Top
Hallo !

Vielen Dank für die schnelle HIlfe. Ich habe bisher noch nie mit WSUS gearbeitet und habe ein Vorgesetzten im Nacken der meint es zu wissen.

er sagte ich sollte einen WSUS (Referenz Installation) einrichten und konfigurieren
danach solle ich die ganze WSUS DB und Patche "exportieren" und auf die einzelenen Standorte verteilen und dort importieren