Rudman 10 Geschrieben 18. Februar 2009 Melden Teilen Geschrieben 18. Februar 2009 Hallo liebe Gemeinde :) Ich habe einen WSUS der einwandfrei funktioniert. Dazu 2 GPO´s die funktionieren auch einwandfrei. ( 1. GPO: automatische Installation, 2. GPO: manuelle Installation ( die dürfen nicht einfach neugestartet werden )) ca. 400 Clients hängen an einem WSUS, beim letztn Patchday ist es das erst mal passiert das unsere 8 Mbit SDSL Leitung zusammenbricht, wenn alle sich Updates holen wollen. Danach habe ich den BITS Traffic in den beiden GPO´sauf 2kb/s runtergesetzt, so das wahre war das auch nicht. Ich habe in allen Standorten einen DC stehen und würde dort WSUS als Replikatserver aufsetzen. Dann müsste ich für jeden Standort mindestens eine GPO erstellen, damit sich die PC`s aus diesem Standort auch die Updates vom dortigen WSUS holen. Der Replikatserver kann sich die Updates vom HauptWSUS oder von Microsoft selber die Updates holen? Wie funktionieren da die Freigaben der Updates, wo sehe ich die dann die ganzen Computer im WSUS? Die melden sich ja dann nur bei dem WSUS im Standort, kann ich da die Berichterstattungsadresse auf den HauptWSUS umlenken? Das ist ne ganz schöne Fleißaufgabe. Vielen Dank für Rat und Tat. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 18. Februar 2009 Melden Teilen Geschrieben 18. Februar 2009 Dazu 2 GPO´s die funktionieren auch einwandfrei. ( 1. GPO: automatische Installation, 2. GPO: manuelle Installation ( die dürfen nicht einfach neugestartet werden )) Aktiviere die zweite Benutzerdefinierte Einstellung aus der Beispiel-GPO und verlink die Einstellung auf die Benutzerobjekte. Dann gibts auch keinen Automatischen Neustart: http://www.wsus.de/images/WSUSGPO.png Ich habe in allen Standorten einen DC stehen und würde dort WSUS als Replikatserver aufsetzen. Dann müsste ich für jeden Standort mindestens eine GPO erstellen, damit sich die PC`s aus diesem Standort auch die Updates vom dortigen WSUS holen. Richtig. Der Replikatserver kann sich die Updates vom HauptWSUS oder von Microsoft selber die Updates holen? Das kannst Du einstellen, wie Du möchtest: http://www.gruppenrichtlinien.de/Bilder/WSUS3_56.gif Wie funktionieren da die Freigaben der Updates, wo sehe ich die dann die ganzen Computer im WSUS? Die melden sich ja dann nur bei dem WSUS im Standort, kann ich da die Berichterstattungsadresse auf den HauptWSUS umlenken? Du kannst einfach alles so lassen wie es ist und mit nur einer Konsole arbeiten, dann siehst Du alle Clients aus allen Standorten in dieser Konsole. Dazu muß natürlich auch eine Automatische Replikation eingerichtet sein. Wenn Du öfters kontrollieren willst, dann lass alle Stunde replizieren. Alternativ kannst Du dir auch jeden Server einzeln in die Konsole holen. http://www.gruppenrichtlinien.de/Bilder/WSUS3_53.gif Dann wird bei jedem Zugriff auf den Downstreamserver in der Konsole, alles frisch von dort geholt. Das ist ne ganz schöne Fleißaufgabe. Das schlimmste ist nur das installieren der WSUS, die GPOs kannst Du ja kopieren und einfach nur den Servernamen abändern. Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 18. Februar 2009 Autor Melden Teilen Geschrieben 18. Februar 2009 Vielen Dank erst mal, ich denke das ich soweit alles verstande habe, wie ich mir das gedacht habe. Zur 2. GPO nochmal. Die User dürfen den PC nicht einfach neustarten, da hängen teilweise Medizingeräte dran. Es muss einer von uns installieren. Deswegen diese unschöne GPO, aber auf Updates für diese Rechner will ich eigentlich nicht unbedingt verzichten. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 18. Februar 2009 Melden Teilen Geschrieben 18. Februar 2009 Vielen Dank erst mal, ich denke das ich soweit alles verstande habe, wie ich mir das gedacht habe. Gut, ansonsten einfach fragen. ;) Zur 2. GPO nochmal. Die User dürfen den PC nicht einfach neustarten, da hängen teilweise Medizingeräte dran. Es muss einer von uns installieren. Deswegen diese unschöne GPO, aber auf Updates für diese Rechner will ich eigentlich nicht unbedingt verzichten. Wenn die Benutzereinstellung gesetzt ist, werden die Updates installiert, es kommt keinerlei Aufforderung zum Neustart oder ähnliches. Auch kommt keine Aufforderung zum installieren, egal ob der angemeldete User lokaler Admin ist, oder nicht. Es wird im Hintergrund installiert, mehr nicht. Probiers einfach mal aus. ;) Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 18. Februar 2009 Autor Melden Teilen Geschrieben 18. Februar 2009 Gut, ansonsten einfach fragen. ;) Wenn die Benutzereinstellung gesetzt ist, werden die Updates installiert, es kommt keinerlei Aufforderung zum Neustart oder ähnliches. Auch kommt keine Aufforderung zum installieren, egal ob der angemeldete User lokaler Admin ist, oder nicht. Es wird im Hintergrund installiert, mehr nicht. Probiers einfach mal aus. ;) Oha, Also kein kleines Fenster "Jetzt oder Später neustarten" das klingt super. Werde es testen. Edit... Dann muss ich ja och noch alle Benutzer der GPO hinzufügen. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 18. Februar 2009 Melden Teilen Geschrieben 18. Februar 2009 Oha,Also kein kleines Fenster "Jetzt oder Später neustarten" das klingt super. Werde es testen. Jepp, genauso ist es. ;) Edit... Dann muss ich ja och noch alle Benutzer der GPO hinzufügen. Oder Du erstellst dir eine GPO, in der nur diese eine Benutzereinstellung ist, die kannst Du ja dann passend verlinken. ;) Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 18. Februar 2009 Autor Melden Teilen Geschrieben 18. Februar 2009 hm. Am liebsten ist mir die Gruppe "authentifizierte Benutzer". Dann muss ich aber im GPMC ein paar User rausnehmen, so das diese Benutzereinstellungen nicht diese wirken. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 18. Februar 2009 Melden Teilen Geschrieben 18. Februar 2009 hm.Am liebsten ist mir die Gruppe "authentifizierte Benutzer". Da sind auch Computerkonten enthalten. Dann muss ich aber im GPMC ein paar User rausnehmen, so das diese Benutzereinstellungen nicht diese wirken. Oder Du erstellst dir eine Gruppe im AD, in die packst Du die Benutzer rein und fügst die Gruppe in die GPO ein. Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 19. Februar 2009 Autor Melden Teilen Geschrieben 19. Februar 2009 Da sind auch Computerkonten enthalten. Das ist ja fast so ähnlich wie, das Gruppenrichtlinien nicht auf Gruppen wirken. Ist mir neu das authentifizierte Benutzer auch Computerkonten enthalten. Lieber wäre mir eine Gruppe mit Nutzern die es nicht betreffen soll ;) Ich stecke eigentlich immer die "authentifizierten Benutzer" in die Sicherheitsfilterung vom GPMC. Dann betrifft es alle. Und unter Delegierung wollte ich eigentlich die Gruppe eintragen auf die die GPO nicht wirken soll. Zitieren Link zu diesem Kommentar
NorbertFe 2.112 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Ich stecke eigentlich immer die "authentifizierten Benutzer" in die Sicherheitsfilterung vom GPMC. Nö, das tut die GPMC auch ohne dich. ;) Dann betrifft es alle.Und unter Delegierung wollte ich eigentlich die Gruppe eintragen auf die die GPO nicht wirken soll. Kannst du doch. Bye Norbert Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 So nun habe ich 25 Gpo´s erstellt. Natürlich gab es kleinere Probleme, das ein paar Rechner zwischendruch doch einfach mal neustarten wollten und auch taten. Naja. In den Richtlinien steht, das die Clients sich die Updates von ihrem WSUS vorort holen sollen und der Server für Statistik ( wo ich denke das dort die Berichte der Clients abgeliefert werden ) der Hauptwsus ist. Also in den Richtlinien für Interner Updatedienst stehen 2 unterschiedliche Server. Es haben sich auch sehr viele Clients schon gemeldet, aber nur beim Downstreamserver werden die angezeigt... Ich wollte aber eigentlich alle Computer auf dem Hauptserver verwalten und in die Gruppen verschieben können. Auch wollte ich von diesem aus sehen ob noch Updates fehlen, das alles wird mir aber nur auf den Downstreamservern angezeigt. Irgendwie fehlt hier sicherlich einfach nur ein Häkchen. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 So nun habe ich 25 Gpo´s erstellt. Natürlich gab es kleinere Probleme, das ein paar Rechner zwischendruch doch einfach mal neustarten wollten und auch taten. Naja. Da fehlte wohl die berühmte Benutzereinstellung. ;) In den Richtlinien steht, das die Clients sich die Updates von ihrem WSUS vorort holen sollen und der Server für Statistik ( wo ich denke das dort die Berichte der Clients abgeliefert werden ) der Hauptwsus ist. Also in den Richtlinien für Interner Updatedienst stehen 2 unterschiedliche Server. Nix da, das kann nicht funktionieren. Damit ist glaub ich ein spezieller Reportingserver gemeint. Vergiss das am besten gleiche wieder. Es haben sich auch sehr viele Clients schon gemeldet, aber nur beim Downstreamserver werden die angezeigt... Ich wollte aber eigentlich alle Computer auf dem Hauptserver verwalten und in die Gruppen verschieben können. Auch wollte ich von diesem aus sehen ob noch Updates fehlen, das alles wird mir aber nur auf den Downstreamservern angezeigt. Irgendwie fehlt hier sicherlich einfach nur ein Häkchen. Oder Du hast eins zu viel. ;) Du mußt natürlich auch eine zeitnahe Synchronisierung zwischen den Down- und Upstreamservern einstellen. Auf dem Upstream oder auf einem Administrativen Client verbindest Du dich nur auf den Upstream. Wenn die Synchronisierung z.B. jede Stunde läuft, siehst Du in dieser einen Konsole recht aktuell was auf den Downstreamservern so los ist. Du verstehst was ich meine? Die Gruppen von den Downstreamservern müssen natürlich auf dem Upstream angelegt sein und umgekehrt. Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 Nix da, das kann nicht funktionieren. Damit ist glaub ich ein spezieller Reportingserver gemeint. Vergiss das am besten gleiche wieder. Oha, ich dachte an den werden die Berichte der CLients geschickt. Also in beide Felder jeweils den Downstreamserver eintragen... (möp wieder alle GPo´s anfassen.) Oder Du hast eins zu viel. ;) Du mußt natürlich auch eine zeitnahe Synchronisierung zwischen den Down- und Upstreamservern einstellen. Auf dem Upstream oder auf einem Administrativen Client verbindest Du dich nur auf den Upstream. Wenn die Synchronisierung z.B. jede Stunde läuft, siehst Du in dieser einen Konsole recht aktuell was auf den Downstreamservern so los ist. Du verstehst was ich meine? Die Gruppen von den Downstreamservern müssen natürlich auf dem Upstream angelegt sein und umgekehrt. Synchronisation steht auf einer Stunde. Die Gruppen holen sich doch die Downstreamserver vom Upstreamserver. Ich sehe alle Clients beim Upstream in den "Nicht zugeordneten" vom Upstream kann ich die Clients aber keiner Gruppe zuweisen. Dazu muss ich extra in den jeweiligen Downstream gehen und die Clients seiner Standortgruppe zuweisen. Das heist aber nicht das die soeben gruppierten Clients beim Upstream in diesen Standort landen... die bleiben als nicht zugewiesen dort. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 Die Gruppen holen sich doch die Downstreamserver vom Upstreamserver. Genau. Und wenn die Clients vorher schon in der richtigen Gruppe auf dem Upstream gewesen sind, sind sie es auch auf dem Downstream. Ich sehe alle Clients beim Upstream in den "Nicht zugeordneten" vom Upstream kann ich die Clients aber keiner Gruppe zuweisen. Auf den Downstream sind die Clients in der richtigen Gruppe? Wenn ja, dann sollten sie eigentlich auf dem Upstream auch richtig zugeordnet werden. Dazu muss ich extra in den jeweiligen Downstream gehen und die Clients seiner Standortgruppe zuweisen. Das heist aber nicht das die soeben gruppierten Clients beim Upstream in diesen Standort landen... die bleiben als nicht zugewiesen dort. Doch, wenn die Clients auf dem Downstream in der richtigen Gruppe sind, kommen sie auf dem Upstream auch richtig an. Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 4. März 2009 Autor Melden Teilen Geschrieben 4. März 2009 Ja, aber ich muss die Clients vom Downstreamserver aus in die Gruppen verschieben. Ansonsten ist alles OK. Zur Zeit teste ich noch die Benutzerichtlinie, das "alle Windows Update Funktionen entfernt" werden. So richtig scheint das nicht zu gehen. Die Richtlinien werde alle so übernommen wie ich das will, aber das Kleine Fenster für den Neustart kommt trotzdem bei manchen. Im RSOP steht es als aktiviert drin. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.