WSUS In Schulumgebung

[Meier-IT 0]

Hallo zusammen,

 

"Wir" planen bei uns zum Updaten der Clients einen bzw mehrere WSUS server einzusetzen. Natürlich soll hier kein riesiger mehr aufwand an den einzelnen Standorten durch entstehen. Das heißt am besten wird alles über den Hauptserver gesteuert was an Updates genehmigt wird ABER es muss an den einzelnen Standorten auch möglich sein noch weitere Updates zu blockieren bzw trotzdem zu genehmigen. Habe zu der Ganzen Sache mal meine Gedanken aufgeschrieben und würde mich über Tipps und Anregungen sehr freuen

 

 

1x Hauptserver (MZ) 

   -> Bekommt "direkten" zugriff aufs Internet

13x (oder 19) Standortserver

   -> Zugriff nur über Proxy ins Internet

 

- Kein Windows AD, Domaincontroller usw

   - Novell Umgebung

- Steuerung und Imaging der Clients über MicroFocus ZCM

- Alle Server Virtuell

 

- ca 10 Verschiedene Hardwaretypen beim Client

  -> evtl. unterschiedliche Update anforderungen pro Standort

  -> evtl. unterschiedliche Update anforderungen pro Client-Typ / Gruppe

 

- Client-Betriebsysteme

  -> Windows 7

  -> Windows 10 (noch nicht -> wird ,irgendwann, kommen)

  -> Server 2008 R2

  -> Server 2012 (R2) (ua. Terminalserver)

  -> Server 2016 (evtl WSUS)

 

- Hauptserver zieht Updates und Verteilt an die 13 (19) Standort-Server

-> "Generelle" Genehmigung der Updates am Hauptserver

-> Standort-Server auch als KMS nutzen 

  -> Windows 7

  -> Office 2010

  -> Office 2013

 

- Standort-Server verteilt Heruntergeladene Updates an seine Clients

-> Zeitgesteuert, nur Nachts

  -> Muss sich Bandbreite mit Datensicherung teilen

-> Gegebenenfalls Blockierung von bestimmten Updates

-> Gegebenenfalls Erlauben von zuvor (durch Hauptserver) Blockierten Updates 

     -> Replikationsserver trotzdem möglich?

 

-> Standortverbindung per Funkbrücke

-> Überprüfung der Updates / Genehmigungen nach Übertragung?

 

-> Clients haben KEINEN zugriff auf Hauptserver

 

-> Clients teilweise per PCW gesperrt

 

-> Clients teilweise Wochen oder Monate nicht an oder im Netz des Standortes

  -> Notebooks

  -> Ferien

       -> Kein Bereinigen der Updates Möglich!?

 

-> Microsoft Security Essentials Updates Automatisch genehmigen und Verteilen

 

-> Updatet sich der WSUS selber auch Automatisch?

 

-> Welches BS für WSUS?

-> 2012 R2

-> 2016

 

 

Schonmal Danke für alle Tips, Hinweise und Anregungen.

Gruß

Micha

[Sunny61 804]

Wenn Du kein AD und somit auch keine Möglichkeit hast GPOs zu erstellen, kann das IMO recht anstrengend werden. Du musst deinen Clients in den Zweigstellen und in der Hauptstelle mitteilen, welcher der zuständige WSUS ist. Falls ihr mit Novell Regdateien per Computerstartupscript verteilen könnt, dann geht das damit.

 

Schau dir dazu auch die Einstellungen via GPEDIT.MSC an. Für Server solltest Du die Option 3 nehmen, für Clients die 4. Die 4 bedeutet, es werden die freigegebenen und vom Client vom WSUS gedownloadeten Updates zum vorgegebenen Zeitpunkt installiert. Bei der Option 3 must Du die freigegebenen Updates manuell downloaden und installieren.

 

Als OS für den WSUS ist W2016 zu empfehlen. Das hier ist einer der Gründe die dafür sprechen: https://wsus.de/de/Scripts/Windows-Editionen-anzeigen

 

Der WSUS ansich ist auch nur ein dummer Server, der holt sich nur das was Du als Admin freigibst.

 

Die von den Downstream WSUS Servern verwendete Bandbreite kannst Du per GPO festlegen: http://www.wsus.de/bits Ohne AD muss man das wieder manuell per Regdatei oder anderen Tools machen.

 

Der WSUS kennt einen Replikatserver, der vollkommen abhängig vom Master ist, oder auch teilweise selbstständig ist. Schau dir dazu die Optionen im WSUS an. Sinnvollerweise lässt bei der Menge an Downstream Servern nur einen Chef im Ring zu, der Master WSUS in der Zentrale.

 

BTW: Der WSUS verteilt nichts, gar nichts. Die Clients holen ab beim WSUS, und auch die Downstream Server holen ab, das sollten sie stündlich.

 

Wenn Du pro Standort andere Anforderungen hast, kannst Du die vom zentralen WSUS aus per Gruppen regeln.

 

Die Scripte https://wsus.de/de/Scripts schau dir an, die Serverbereinigungsscripte sollten täglich auf allen WSUS-Servern laufen. Zusätzlich gibt ein CleanUp Script, das sollte mindestens einmal pro Woche laufen, ebenfalls auf allen Servern.

[Dukel 451]

Zur Ergänzung. Der WSUS läd alles herunter, was genemigt wurde. Daher genemigt man sinnvollerweise das was benötigt wird und nicht das was angeboten wird.

Hier findest du genug Threads darüber, dass die Datenpartitionen für WSUS voll laufen.

[lefg 276]

Moin

 

Sollen die Aussenstellen denn einen Download vom Zentralserver machen? Gibt es denn ausreichend Bandbreite zwischen der Zentrale und den Aussenstellen?

 

Oder genehmigt die Zentrale nur und die Aussenstellen holen sich das lokal direkt aus dem Internet?

 

Da gab es vor Kurzem einen Thread.

 

 

Clients den PCWächter müssen zeitig eingeschaltet und entsperrt, dann neu gestartet werden.

 

Bei uns wird im Bereich Veranstaltung an Rechnern mit PCW auf Updates verzichtet.

bearbeitet 12. Juni 2017 von lefg

[Meier-IT 0]

Moin zusammen,

 

Der Zentrale server soll genehmigen und die Updates auch an die "Zweigstellen" verteilen. Die Bandbreite ist unterschiedlich Da haben wir zwischen 300 und 20 Mbit im "internen" Netz

Der Hauptserver würde auch direkt Freigeschaltet werden damit uns dort nicht der Proxy oder Sonstige Filtersysteme in die Quere kommen die leider gern mal ein Update oder sonstiges zerhauen. Und da wir eigentlich an allen anderen Standorten die MS Update Server komplett blocken wollen, Damit Schüler nicht mit ihren eigenen Geräten uns den Traffic dicht machen. 

 

Wahrscheinlich würden IT Klassen auch nur die Adresse des WSUS servers bekommen für ihre Virtuellen Maschinen damit net jede Update anfrage im Netz dann bei unserem Server Landen würde.

 

Leider sollen die PCW geschützten PCs auch durch den WSUS versorgt werden. Da sehe ich auch das größte Problem (Umgelegte Schalter, umgestöpselte & gezogene LAN bzw Strom Kabel, Notaus, Sicherung im Raum raus). Hier werde ich mir das DKS Protect (CMD tool für PCW) bzw DKS Install (software verteilung) mal genauer ansehen. Eigentlich müsste ich per DKS Protect und unserem ZCM die PCs Zeitgesteuert anschalten und Entsperren können. Wo ich mir eher sorgen mache ist das Sperren hinterher wieder.

 

Gibt es nicht die möglichkeit das ich dem client per CMD sage "Los beweg jetzt deinen ars***!"?

 

Mit dem BITS werde ich mir noch genauer anschauen. Beim groben überfliegen sieht es aber da so aus als ob ich ihm da nur die Bandbreite begrenzen kann. Gibt es hier vlt eine möglichkeit das er die Updates nur nachts synchronisiert ABER neue Rechner / neu installierte, also die PC Liste, trotzdem an den Haupt WSUS synchronisiert?

 

Ja über den CleanUp werde ich wohl nicht hinweg kommen. Da bei uns ja einiges an Updates zusammen kommt und ich jetzt schon ca 280GB im Speicher im Speicher habe und wir habe noch nicht alle Updates genehmigt bzw alle Systeme die versorgt werden sollen aktiviert. Dadurch macht die Reporting Funktion schon Probleme(Bericht wird Generiert ....). Wo ich mir dann aber wieder sorgen mache, wenn die Bereinigung durchläuft, ist die sache wenn nen Client das Grund-Image neu bekommt hat dieses ja nen recht alten Updatestand. Wie würde es dann hier mit dem Bereinigen aussehen?

 

Schonmal Danke für eure Tips 

 

Gruß

Micha

[Dukel 451]

Es gibt ein Powershell Modul (https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc) mit dem man Updates installieren kann.

[Meier-IT 0]

@ Dukel: Ich vermute das das Powershell Modul als Lösung für das "In den ars*** treten der Clients" per CMD gedacht ist. Danke dir schonmal werde mir das Teilchen mal genauer ansehen. 

 

Warum hat MS eigentlich keine Funktion in den WSUS eingebaut das man aus dem Interface des WSUS sagen kann "Hey du MUSST jetzt Updaten"

 

Wieviel Leistung (CPU & RAM) gebt ihr eigentlich euren WSUS Servern? 

 

Gruß

Micha

[Dukel 451]

Das ist nicht der Job vom WSUS Server. Dieser stellt nur die Updates zur Verfügung.

Dafür gibt es z.B. das System Center.