Wisi 12 Geschrieben 25. Mai 2009 Melden Teilen Geschrieben 25. Mai 2009 Hallo, vielleicht ein bisschen offtopic, passt hier aber noch am besten wegen firewall. Wir bieten per HotSpot in einem abgeschotteten Netz einen Internetzugang an. Funktioniert soweit auch alles ganz gut, allerdings liegt der Standort sehr abgelegen und hohe Bandbreiten sind nahezu unmöglich. Daher würden wir gerne den Updatedienst von Microsoft blocken, damit nicht jeder Client dort seine Updates von Microsoft zieht. Wie würdet ihr hierbei vorgehen? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 25. Mai 2009 Melden Teilen Geschrieben 25. Mai 2009 Mahlzeit Also Updates aktiv zu blockieren finde ich persönlich ein wenig daneben. Möglichkeit 1 wäre es für diesen Standort einen WSUS Server zu implementieren, der dann zentralisiert einmal die Patches von MS lädt und an die Clients ausliefert. Mit der entsprechenden Updatepolicy schauen die Clients auch nicht mehr bei MS sondern beim WSUS nach. Möglichkeit 2 wäre u.U. eine Art Cache Proxy. Einmal runterladen, danach wird das Update Package aus dem Cache des Proxies gelutscht. Gruß Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 25. Mai 2009 Autor Melden Teilen Geschrieben 25. Mai 2009 hallo, unsere verwaltung dort wird von einem wsus gespeist, dieser zieht über nacht die updates, also daher kein problem. das problem habe ich im gast netz. und ich kann die gäste auch nicht durch einen zwangsproxy quetschen, da die sehr unterschiedliche anwendungen nutzen, welche da probleme machen. damit scheidet 1 und 2 aus, da diese nicht von mir verwaltet werden. ich habe also keine wirkliche möglichkeit diese clients zu beeinflussen. somit bleibt mir nur die möglichkeit den datenfluss etwas zu steuern, damit mir nicht ein einziger client schon die leitung dicht macht. ansonsten stimme ich mit dir da vollkommen überein. mir sind nur leider die hände gebunden, sowohl was die leitung nach draußen angeht, als auch was die clients angeht. die leute wissen auch nicht was sie einstellen müssen / können / dürfen. Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 25. Mai 2009 Melden Teilen Geschrieben 25. Mai 2009 Hallo Wisi, 1) bist Du Dir sicher, dass die Updates das Problem sind? Mach doch mal eine Auswertung über alle Ports, dann hast Du einen guten Anhaltspunkt, welches Protokoll am meisten Traffic "verbraucht". 2) Wenn ich mir unsere GPOs so ansehen, dann wollen die Clients mit Port 8530 bzw. 8531 des WSUS kommunizieren. Allerdings kannst Du damit nur die abfangen, die sich die Updates direkt bei MS holen. Du "erwischt" nicht diejenigen, die eine VPN-Verbindung zum Arbeitsplatz aufbauen und von dort die Updates ziehen. 4) Doofe Frage: Warum kannst Du den Leuten nicht einen Proxy vorsetzen? Darauf gibst Du gleich ein paar notwendige Ports frei (HTTP, HTTPS, ...), den Rest dann bei Bedarf einmal einrichten und gut ist. Grüße, Robert Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 25. Mai 2009 Autor Melden Teilen Geschrieben 25. Mai 2009 hi 1. jipp, da ich per nat verbindungen geschaut wo die verbindungen hin laufen und den einen client mal kurz danach aus dem netz geschossen habe (wlan), dann war ruhe (im verhältnis) 2. 8530 is aber nur beim wsus im lokalen netz afair. die vpn verbindungen erwische ich sowieso nicht, weil ich da sowieso nichts sehe, außer der verbindung. 3. warum ich das nicht kann: es sind gäste, denen is sch...egal warum was nicht funktioniert, es hat einfach zu funktionieren. denk dich also in einen hotelgast, dem is alles ziemlich egal. die werden höchstens pampig, verständnis haben sie keins. einige der schönen anwendungen, die die haben machen probleme mit dem zwangsproxy, also habe ich hier keine wahl. wie gesagt ist ja ein hotspot für die gäste. ich will dort auch so wenig wie möglich einschränken, aber ich muss auch dafür sorgen, dass das netz funktionsfähig bleibt für die anderen gäste. und heute ist uns das mit den windows updates eben extrem aufgefallen. grundsätzlich verstehe ich die gäste auch, aber man kann nicht alles haben im leben. es gibt halt nicht unbedingt das hotel im wald, welches gleichzeitig noch ruhig liegt und dann noch an einer super infrastruktur hängt. damit dürften wir nicht ganz alleine liegen bei derartigen hotels. ich denke ich sperre jetzt per dns folgende einträge: update.microsoft.com, download.microsoftupdates.com, windowsupdate.microsoft.com zumindest sophos gibt an, dass es damit gelöst sein dürfte. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 25. Mai 2009 Melden Teilen Geschrieben 25. Mai 2009 Welche Anwendungen laufen mit welchem Zwangsproxy nicht? Evtl. kann man diesen umstellen oder einen anderen Proxy nutzen. Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 25. Mai 2009 Autor Melden Teilen Geschrieben 25. Mai 2009 eigenentwicklungen der gäste, die dort geschult werden (ist ein seminar- und tagungshotel). darauf haben wir schon mal keinen einfluss. die sagen uns auch bloß, dass es nicht läuft. eine analyse oder ähnliches ist mit denen nicht möglich, die wollen kommen, arbeiten/schulen und wieder gehen ohne irgendwas machen zu müssen. zum proxy: wir haben eine tuxguard (Firewall, Zarafa Groupware, Appliance, Antivirus, AntiSPAM, Content Filter, VPN, Proxy, E-Mail, OpenVPN, Virenscanner Kaspersky, IBM, Cobion, NAGIOS, Mail, IPSec | TUXGUARD Technology) im einsatz und sind somit auf deren proxy angewiesen. soweit ich das sehe, läuft dort squid. damit hatten wir hier im haus noch keine probleme, aber wir verwenden auch nur standard software. insofern sehe ich da wenig chancen derzeit etwas zu verbessern :( die leitung ließe sich natürlich schon aufbohren, aber diese kosten lassen sich niemals mehr über den verkauf von internet tickets finanzieren. außerdem gehört internet ja fast schon zur standardausstattung eines hotels. Zitieren Link zu diesem Kommentar
unst 10 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 wenn du den proxy transparent machst kannst du damit die updates abfangen (und hast auch nen cache, dass google nicht für jeden pc geladen werden muss) und den clients bzw den applikationen ists egal. es sei denn du gibst nur port 80, 443 etc frei... Darf ich fragen warum ihr so eine teure FW habt? Es gibt doch open source ;) Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 29. Juli 2009 Autor Melden Teilen Geschrieben 29. Juli 2009 Off-Topic:ich brauche eine fertige anwendung für das hotspot system. es gibt eine gui applikation für die mitarbeiter, die die tickets anfertigen. zudem soll das ganze recht einfach zu handeln sein und gewartet werden vom hersteller. insofern war das gar nicht so teuer. das mit dem transparenten proxy ist eben nicht jeder anwendung egal :/aber wie gesagt die lösung haben wir ja im prinzip. ende des jahres ist hoffentlich auch etwas mehr bandbreite drin... Zitieren Link zu diesem Kommentar
unst 10 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 achso, also die anwendungen die wir in der firma haben, die keinen Proxy können (also ip und port eintragen) können trotzdem über den transparenten wenn die ports dort durchgeschleift werden. hatte jetzt gehofft, dass das auf deine apps auch zutrifft Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 29. Juli 2009 Autor Melden Teilen Geschrieben 29. Juli 2009 die liegen eben nicht in meiner hand (wie oben geschrieben). nicht immer ist man herr aller dinge :( aber ich habe eben auch noch mal mit dem hersteller gesprochen, da tut sich was für das problem. evtl. lösen wir das in zukunft auch über ein qos feature, womit wir die priorität für die adressen deutlich senken. das wäre mir auch lieber als zu blocken. Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 hi update.microsoft.com, download.microsoftupdates.com, windowsupdate.microsoft.com zumindest sophos gibt an, dass es damit gelöst sein dürfte. Was machst du mit den Anwendern, die gerade Adobe Reader, Firefox, Apple Safari oder Itunes/Quicktime, etc. updaten? Zusätzlich bieten viele Business-Applikationen Liveupdatefunktionen, bei welchen mal schnell hunderte MB geladen werden müssen. Das wird sehr schwierig für dich, dies auszuschließen. PS: Du schreibst ja eigentlich in vernünftigen Sätzen. Aber irgendwie scheint deine Shift-Taste zu klemmen. Du bekommst keinen einzigen Buchstaben großgeschrieben. ;) Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 29. Juli 2009 Autor Melden Teilen Geschrieben 29. Juli 2009 Gerne kann ich das für dich tun ;) In Foren erachte ich das allerdings nicht als so schlimm, der Inhalt und die Sprache (vor allem der "Tonfall") erscheint mir wichtiger :) Du hast natürlich Recht bezüglich der vielen Live Update Funktionen. Jedoch war zumindest zum Zeitpunkt der Analyse das Hauptproblem beim Windows Update zu suchen. Ich werde das Problem der fehlenden Bandbreite so nicht zu 100% lösen können, ich denke das ist allen in diesem Thread klar. Wie gesagt hoffe ich auch, dass dieses Thema mit der Einführung von "RAM" bei der Telekom auch endlich von meinem Tisch kommt. So lange muss ich allerdings sehen, dass meine Gäste bzw. die Gäste meines Unternehmens zufrieden sind und auch kleine Ansätze helfen hier. Diverse Ansätze sind auch beim Hersteller unserer Zugangslösung im Test und ich hoffe da kommt was bei raus. Zitieren Link zu diesem Kommentar
Wisi 12 Geschrieben 7. März 2010 Autor Melden Teilen Geschrieben 7. März 2010 so um das mal zu ergänzen: habe den davor sitzenden lancom umkonfiguriert, dieser macht nun qos, entsprechend haben wir damit nicht mehr so viele probleme :) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Geht auch, andere Möglichkeit wäre die Reduzierung der durch den BITS genutzten Bandbreite. Aber deine Lösung dürfte eventuell in diesem Fall die bessere sein. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.