Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
es geht um die ganz normalen Windows Updates, die man mindestens einmal monatlich drüberlaufen lassen muss.
Unsere Situation ist folgendermassen:
ein Hauptbüro mit einem 2003 R2 SBS Server, 2003 R2 Citrix Terminal Server, 2000 Datev Server und neun XP teilweise SP2/ SP3 Client Rechner in einer Domäne
eine Nebenstelle mit einem 2000er Server und vier Client-Rechnern in einer eigenständigen Domäne (die beiden Domänen kennen sich nicht).
23 Standorte mit bis zu vier Rechnern - manche davon HomeOffice-Situationen - auf denen immer XP professional installiert ist (manche noch mit SP2). Alle Standorte haben auf einem Rechner über den Lancom Advanced VPN-Client eine VPN-Verbindung zum Citrix-Server im Hauptbüro. In den meisten Standorten gibt es aber auch zusätzliche Rechner ohne VPN-Client.
Wir haben an allen Clientrechnern die WindowsUpdates auf 'Benachrichtigen aber nicht automatisch herunterladen und installieren' eingestellt. Hauptsächlich, weil wir noch eine Kontrolle darüber haben wollen, was für Updates installiert werden (sowas wie Windows Search 4.0 wollen wir nicht).
Nun ist es ein nicht unbeträchtlicher Aufwand auf allen Rechnern mindestens einmal im Monat mit der Hand am Arm die Windows Updates aufzuspielen. Der SBS-Server kann zwar als Update-Server fungieren, aber nur zu Clients im eigenen Netzwerk wie ich es verstanden habe - und die meisten Rechner sind in den Aussenstellen... die Tunnel werden über die Clients manuell aufgebaut und auch immer nur dann, wenn die Leute direkt auf dem Citrix-Server arbeiten müssen.
Eine stehende VPN-Verbindung haben wir leider nicht zwischen den einzelnen Standorten, da ist der Kollege (zumindest bei ein paar Standorten) noch dran...
Mein Chef meinte es gäbe eine Möglichkeit, die Updates, die wir installieren wollen per eMail-Link an die Clientrechner zu verschicken, so dass die User in einer eMail nur auf die entsprechenden Links klicken müssen und dann die Updates auf den jeweiligen Rechner gezogen und installiert werden.
Kennt jemand diese Methode oder hat eine andere Idee, wie sich hier unser Arbeit erleichtern liese?
Beschäftige dich mit dem WSUS, ist kostenlos und kann alle Clients >= W2KSP4 up2date halten. Wenn die Clients eine VPN-Verbindung ins Netz vom SBS haben, können die sich auch die Updates vom WSUS abholen. Desweiteren kann der WSUS auch mit sog. Downstream-Servern betrieben werden. D.h. Du hast einen Master-WSUS, auf dem verwaltest Du alle Clients, gibst Updates zum installieren frei. Die Downstream-WSUS-Server holen sich dann die Updates vom Master und stellen sie den Clients, die Du per GPO konfiguriert hast, zur Verfügung. Die holen sie sich dann ab.
Beschäftige dich mit dem WSUS, ist kostenlos und kann alle Clients >= W2KSP4 up2date halten. Wenn die Clients eine VPN-Verbindung ins Netz vom SBS haben, können die sich auch die Updates vom WSUS abholen. Desweiteren kann der WSUS auch mit sog. Downstream-Servern betrieben werden. D.h. Du hast einen Master-WSUS, auf dem verwaltest Du alle Clients, gibst Updates zum installieren frei. Die Downstream-WSUS-Server holen sich dann die Updates vom Master und stellen sie den Clients, die Du per GPO konfiguriert hast, zur Verfügung. Die holen sie sich dann ab.
Unser SBS kann nur übers lokale Netz (also über die Lancom VPN Clients, die von den Usern manuell gestartet werden) erreicht werden.
Sobald ich die Updates auf dem Master-WSUS freigeschaltet habe, schicke ich eine eMail an alle User, die eine VPN-Verbindung öffnen können, mit der Bitte, die Updates abzuholen. Wenn sie das gemacht haben - über den WSUS-Downstream-Dienst, dann können sie auf den andern Client-Rechnern, die im lokalen Netz sind, den Win-Update starten - diese muss ich dann so konfigurieren, dass sie sich ihre Updates nicht vom MS-Server im Internet holen, sondern vom lokalen WSUS-XP-Rechner...
Habe ich das so richtig verstanden?
Es steht und fällt mit der Frage, ob auch ein XP professional-/ XP home-Rechner ein Downstream WSUS-Server sein kann.
Unser SBS kann nur übers lokale Netz (also über die Lancom VPN Clients, die von den Usern manuell gestartet werden) erreicht werden.
Das reicht ja auch völlig aus.
Zitat von Scerijne
Sobald ich die Updates auf dem Master-WSUS freigeschaltet habe, schicke ich eine eMail an alle User, die eine VPN-Verbindung öffnen können, mit der Bitte, die Updates abzuholen. Wenn sie das gemacht haben - über den WSUS-Downstream-Dienst, dann können sie auf den andern Client-Rechnern, die im lokalen Netz sind, den Win-Update starten - diese muss ich dann so konfigurieren, dass sie sich ihre Updates nicht vom MS-Server im Internet holen, sondern vom lokalen WSUS-XP-Rechner...
Habe ich das so richtig verstanden?
So ähnlich ist es, nur das der WSUS-Downstream-Server in diesem Fall manuell synchronisiert werden muß. Dann hat der WSUS vor Ort die Updates vorliegen. Jetzt holen sich die Clients vor Ort vom dem WSUS vor Ort die Updates selbst, sofern sie per GPO dazu konfiguriert worden sind. Da brauchst Du normalerweise nur die GPO zu konfigurieren und den Rest macht der lokale WU-Agent auf den Clients selbst.
Zitat von Scerijne
Es steht und fällt mit der Frage, ob auch ein XP professional-/ XP home-Rechner ein Downstream WSUS-Server sein kann.
Nein, ein WSUS kann nur auf einem Server-OS installiert werden.
Unser SBS hat acht Clientrechner und zwei Server - fünfzehn Client-Zugriffs Lizenzen, von denen er bisher maximal sieben gebraucht hat (laut Lizenz-SnapIn)... Für die Rechner ist WSUS sicher eine super Lösung, die ich umsetzen werde.
Die restlichen ca. vierzig Rechner kommt WSUS wohl nicht in Frage, da sie nicht in der Domäne stehen, daher dem SBS nicht bekannt sind und auch auch nicht verwaltet werden können. Oder liege ich da falsch?
Gibt es für solche *standalone* Rechner auch eine Möglichkeit, die Windows-Updates zu organisieren? Wie gesagt, mein Chef behauptet, man könnte die Updates ja runterladen und dann per eMail auf einen Link (also irgendeinen ftp-Server) verweisen, von dem aus die Updates installiert werden...
man könnte die Updates ja runterladen und dann per eMail auf einen Link (also irgendeinen ftp-Server) verweisen, von dem aus die Updates installiert werden...
Off-Topic: Man könnte sich auch ein Loch ins Knie bohren und mit Marmelade zuschmieren. Deswegen ist es noch lange keine gute Idee.
Dem WSUS ist es egal, ob die Rechner die die Updates von im erhalten in einer Domäne oder Arbeitsgruppe sind. Es ist lediglich fummelig jedem Arbeitsgruppen-PC ohne domänenweite GPO die entsprechende Richtlinie für die Konfiguration auf den WSUS durchzureichen. Innerhalb des WSUS kann man für jede Domäne/Arbeitsgruppe eigene Gruppen/Zuordnungen erstellen und jede Gruppe seperat bedienen.
Die restlichen ca. vierzig Rechner kommt WSUS wohl nicht in Frage, da sie nicht in der Domäne stehen, daher dem SBS nicht bekannt sind und auch auch nicht verwaltet werden können. Oder liege ich da falsch?
Falsch. Dem WSUS ist es ziemlich egal, welcher Client sich Updates abholt. Der WSUS ist ganz dumm und bietet die Updates nur auf einem Tablett an, wegnehmen kann sie sich jeder, der zum Tablett kommt.
Zitat von Scerijne
Gibt es für solche *standalone* Rechner auch eine Möglichkeit, die Windows-Updates zu organisieren? Wie gesagt, mein Chef behauptet, man könnte die Updates ja runterladen und dann per eMail auf einen Link (also irgendeinen ftp-Server) verweisen, von dem aus die Updates installiert werden...
Da schließe ich mich der Aussage von Norbert an. Viel komplizierter gehts nicht mehr.
Je nachdem wie Du an die Clients kommst, kannst Du ihnen ein Regfile unterschieben, die andere Alternative ist das Tool Connect2WSUS. Direkt auf den Clients ausführen und schon kanns losgehen.
