Gerbaum 0 Geschrieben 18. November 2015 Melden Teilen Geschrieben 18. November 2015 Hi, im Betrieb werden alle Rechner ,die in einer Domäne eingebunden sind, innerhalb unseres Server 2012 R2 Netzwerkes von einem Wsus mit Updates versorgt. Die Zuweisung des WSUS Update Serverserfolgt über GPP. Leider kommt es öfters vor, dass unsere Notebooks , alle Win 7, einige Wochen unterwegs sind und nicht an das Netzwerk angebunden werden. LTE Modem ist zwar vorhanden, doch als Update Server ist natürlich aufgrund der GPP der interne Wsus Server eingetragem, deshalb wird kein Update durchgeführt. VPN ins Firmennetz wäre natürlich am Besten, wird aber nicht so schnell kommen... Ich wollte die Misere jetzt mit einem WMI Filter lösen. Also auf die GPP mit den Windows Updates folgenden Filter: SELECT * from Win32_IP4RouteTable WHERE Name LIKE '10.123.%' (unser interner IP Bereich) Ist der Client mit dem internen Netz verbunden, so meine Annahme, sprint der Query auf True, also wird die GPP angewandt. Melde ich mich an meinem Notebook ohne internes Netz an, spring der Query auf False, GPP wird nicht angewendet und ich bekomme meine Updates vom Windows Server. Soweit zur Theorie Dummerweise wird der Filter auch außerhalb vom internen Netz angewandt, obwohl ich nicht im 10.123 Bereich bin. Ein gpresult /r zeigt mir auch an, dass die GPP beim Notebook angewandt wird. Habe ich irgendetwas übersehen? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. November 2015 Melden Teilen Geschrieben 18. November 2015 Du kannst einen zweiten WSUS aufsetzen und den dann passend konfigurieren. In den Optionen > Updatequelle und Proxy den internen WSUS auswählen und in Updatedateien und Sprachen anhaken: [X] Updatedateien nicht lokal speichern, Computer installieren von Windows Update direkt. Diesen WSUS gibst Du dann den Laptops mit. Und zwar nur diesen WSUS. Dadurch holen die Clients sich von diesem WSUS die passenden Genehmigungen und berichten auch zurück. Die Updates werden aber direkt von WU/MU gedownloadet. Bezüglich WMI-Filter hatte ich das hier schon erfolgreich im Einsatz: http://www.tech-archive.net/Archive/Windows/microsoft.public.windows.group_policy/2007-01/msg00288.html Wenn Du nur den Namen des WSUS in zwei eigene GPOs bringst, solltest Du mit dem o.g. WMI-Filter zum Ziel kommen. Sind die Clients 'extern', holen sie sich von WU/MU, sind sie intern, holen sie sich vom WSUS die Updates. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 18. November 2015 Melden Teilen Geschrieben 18. November 2015 Dummerweise wird der Filter auch außerhalb vom internen Netz angewandt, obwohl ich nicht im 10.123 Bereich bin.Ein gpresult /r zeigt mir auch an, dass die GPP beim Notebook angewandt wird. Was passiert wenn du in einem fremden Netz eine IP aus diesem Bereich bekommst? Z.B. aus dem Mobilfunknetz(LTE o.ä.)? Irgendwie scheint mir das kein hinreichendes Kriterium zu sein um zu entscheiden ob du "zu hause" bist oder nicht. Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 19. November 2015 Melden Teilen Geschrieben 19. November 2015 Nutzt leider nix - wenn keine Domänenverbindung vorhanden ist, werden keine GPOs verarbeitet und damit kommen alle "gewünschten Änderungen" nie auf dem Client an. Das kannst Du eigentlich nur mit einem Computerstartskript lösen, das LOKAL auf den Clients liegt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.