Windows Updates

[Scerijne 10]

Hallo miteinander,

 

es geht um die ganz normalen Windows Updates, die man mindestens einmal monatlich drüberlaufen lassen muss.

 

Unsere Situation ist folgendermassen:

 

ein Hauptbüro mit einem 2003 R2 SBS Server, 2003 R2 Citrix Terminal Server, 2000 Datev Server und neun XP teilweise SP2/ SP3 Client Rechner in einer Domäne

eine Nebenstelle mit einem 2000er Server und vier Client-Rechnern in einer eigenständigen Domäne (die beiden Domänen kennen sich nicht).

23 Standorte mit bis zu vier Rechnern - manche davon HomeOffice-Situationen - auf denen immer XP professional installiert ist (manche noch mit SP2). Alle Standorte haben auf einem Rechner über den Lancom Advanced VPN-Client eine VPN-Verbindung zum Citrix-Server im Hauptbüro. In den meisten Standorten gibt es aber auch zusätzliche Rechner ohne VPN-Client.

 

Wir haben an allen Clientrechnern die WindowsUpdates auf 'Benachrichtigen aber nicht automatisch herunterladen und installieren' eingestellt. Hauptsächlich, weil wir noch eine Kontrolle darüber haben wollen, was für Updates installiert werden (sowas wie Windows Search 4.0 wollen wir nicht).

 

Nun ist es ein nicht unbeträchtlicher Aufwand auf allen Rechnern mindestens einmal im Monat mit der Hand am Arm die Windows Updates aufzuspielen. Der SBS-Server kann zwar als Update-Server fungieren, aber nur zu Clients im eigenen Netzwerk wie ich es verstanden habe - und die meisten Rechner sind in den Aussenstellen... die Tunnel werden über die Clients manuell aufgebaut und auch immer nur dann, wenn die Leute direkt auf dem Citrix-Server arbeiten müssen.

Eine stehende VPN-Verbindung haben wir leider nicht zwischen den einzelnen Standorten, da ist der Kollege (zumindest bei ein paar Standorten) noch dran...

 

Mein Chef meinte es gäbe eine Möglichkeit, die Updates, die wir installieren wollen per eMail-Link an die Clientrechner zu verschicken, so dass die User in einer eMail nur auf die entsprechenden Links klicken müssen und dann die Updates auf den jeweiligen Rechner gezogen und installiert werden.

 

Kennt jemand diese Methode oder hat eine andere Idee, wie sich hier unser Arbeit erleichtern liese?

 

Vielen Dank

 

Brigitte Weiß

[Gabriel70 10]

es geht um die ganz normalen Windows Updates, die man mindestens einmal monatlich drüberlaufen lassen muss.

 

...oder hat eine andere Idee, wie sich hier unser Arbeit erleichtern liese?

 

Hallo!

 

Schau dir das mal an: WSUSPraxis: Home - WSUSPraxis.de

 

Gruß

[Sunny61 773]

Beschäftige dich mit dem WSUS, ist kostenlos und kann alle Clients >= W2KSP4 up2date halten. Wenn die Clients eine VPN-Verbindung ins Netz vom SBS haben, können die sich auch die Updates vom WSUS abholen. Desweiteren kann der WSUS auch mit sog. Downstream-Servern betrieben werden. D.h. Du hast einen Master-WSUS, auf dem verwaltest Du alle Clients, gibst Updates zum installieren frei. Die Downstream-WSUS-Server holen sich dann die Updates vom Master und stellen sie den Clients, die Du per GPO konfiguriert hast, zur Verfügung. Die holen sie sich dann ab.

 

Lies dich hier mal ein bisschen ein:

Release Notes for Microsoft Windows Server Update Services 3.0

 

Wenn weitere Fragen sind, frag einfach. ;)

[Scerijne 10]

Beschäftige dich mit dem WSUS, ist kostenlos und kann alle Clients >= W2KSP4 up2date halten. Wenn die Clients eine VPN-Verbindung ins Netz vom SBS haben, können die sich auch die Updates vom WSUS abholen. Desweiteren kann der WSUS auch mit sog. Downstream-Servern betrieben werden. D.h. Du hast einen Master-WSUS, auf dem verwaltest Du alle Clients, gibst Updates zum installieren frei. Die Downstream-WSUS-Server holen sich dann die Updates vom Master und stellen sie den Clients, die Du per GPO konfiguriert hast, zur Verfügung. Die holen sie sich dann ab.

 

Lies dich hier mal ein bisschen ein:

Release Notes for Microsoft Windows Server Update Services 3.0

 

Wenn weitere Fragen sind, frag einfach. ;)

 

Unser SBS kann nur übers lokale Netz (also über die Lancom VPN Clients, die von den Usern manuell gestartet werden) erreicht werden.

 

Sobald ich die Updates auf dem Master-WSUS freigeschaltet habe, schicke ich eine eMail an alle User, die eine VPN-Verbindung öffnen können, mit der Bitte, die Updates abzuholen. Wenn sie das gemacht haben - über den WSUS-Downstream-Dienst, dann können sie auf den andern Client-Rechnern, die im lokalen Netz sind, den Win-Update starten - diese muss ich dann so konfigurieren, dass sie sich ihre Updates nicht vom MS-Server im Internet holen, sondern vom lokalen WSUS-XP-Rechner...

 

Habe ich das so richtig verstanden?

 

Es steht und fällt mit der Frage, ob auch ein XP professional-/ XP home-Rechner ein Downstream WSUS-Server sein kann.

[Sunny61 773]

Unser SBS kann nur übers lokale Netz (also über die Lancom VPN Clients, die von den Usern manuell gestartet werden) erreicht werden.

 

Das reicht ja auch völlig aus.

 

Sobald ich die Updates auf dem Master-WSUS freigeschaltet habe, schicke ich eine eMail an alle User, die eine VPN-Verbindung öffnen können, mit der Bitte, die Updates abzuholen. Wenn sie das gemacht haben - über den WSUS-Downstream-Dienst, dann können sie auf den andern Client-Rechnern, die im lokalen Netz sind, den Win-Update starten - diese muss ich dann so konfigurieren, dass sie sich ihre Updates nicht vom MS-Server im Internet holen, sondern vom lokalen WSUS-XP-Rechner...

 

Habe ich das so richtig verstanden?

 

So ähnlich ist es, nur das der WSUS-Downstream-Server in diesem Fall manuell synchronisiert werden muß. Dann hat der WSUS vor Ort die Updates vorliegen. Jetzt holen sich die Clients vor Ort vom dem WSUS vor Ort die Updates selbst, sofern sie per GPO dazu konfiguriert worden sind. Da brauchst Du normalerweise nur die GPO zu konfigurieren und den Rest macht der lokale WU-Agent auf den Clients selbst.

 

Es steht und fällt mit der Frage, ob auch ein XP professional-/ XP home-Rechner ein Downstream WSUS-Server sein kann.

 

Nein, ein WSUS kann nur auf einem Server-OS installiert werden.

[Scerijne 10]

jetzt lese und grüble ich schon ne ganze Weile...

 

Unser SBS hat acht Clientrechner und zwei Server - fünfzehn Client-Zugriffs Lizenzen, von denen er bisher maximal sieben gebraucht hat (laut Lizenz-SnapIn)... Für die Rechner ist WSUS sicher eine super Lösung, die ich umsetzen werde.

 

Die restlichen ca. vierzig Rechner kommt WSUS wohl nicht in Frage, da sie nicht in der Domäne stehen, daher dem SBS nicht bekannt sind und auch auch nicht verwaltet werden können. Oder liege ich da falsch?

 

Gibt es für solche *standalone* Rechner auch eine Möglichkeit, die Windows-Updates zu organisieren? Wie gesagt, mein Chef behauptet, man könnte die Updates ja runterladen und dann per eMail auf einen Link (also irgendeinen ftp-Server) verweisen, von dem aus die Updates installiert werden...

[NorbertFe 1.835]

man könnte die Updates ja runterladen und dann per eMail auf einen Link (also irgendeinen ftp-Server) verweisen, von dem aus die Updates installiert werden...

 

Off-Topic:

Man könnte sich auch ein Loch ins Knie bohren und mit Marmelade zuschmieren. Deswegen ist es noch lange keine gute Idee. ;)

 

Bye

Norbert

[Scerijne 10]

nunja - was wäre dann eine gute Idee ... ???

[Gulp 228]

Dem WSUS ist es egal, ob die Rechner die die Updates von im erhalten in einer Domäne oder Arbeitsgruppe sind. Es ist lediglich fummelig jedem Arbeitsgruppen-PC ohne domänenweite GPO die entsprechende Richtlinie für die Konfiguration auf den WSUS durchzureichen. Innerhalb des WSUS kann man für jede Domäne/Arbeitsgruppe eigene Gruppen/Zuordnungen erstellen und jede Gruppe seperat bedienen.

 

Grüsse

 

Gulp

[Sunny61 773]

Die restlichen ca. vierzig Rechner kommt WSUS wohl nicht in Frage, da sie nicht in der Domäne stehen, daher dem SBS nicht bekannt sind und auch auch nicht verwaltet werden können. Oder liege ich da falsch?

 

Falsch. Dem WSUS ist es ziemlich egal, welcher Client sich Updates abholt. Der WSUS ist ganz dumm und bietet die Updates nur auf einem Tablett an, wegnehmen kann sie sich jeder, der zum Tablett kommt.

 

Gibt es für solche *standalone* Rechner auch eine Möglichkeit, die Windows-Updates zu organisieren? Wie gesagt, mein Chef behauptet, man könnte die Updates ja runterladen und dann per eMail auf einen Link (also irgendeinen ftp-Server) verweisen, von dem aus die Updates installiert werden...

 

Da schließe ich mich der Aussage von Norbert an. Viel komplizierter gehts nicht mehr.

 

Je nachdem wie Du an die Clients kommst, kannst Du ihnen ein Regfile unterschieben, die andere Alternative ist das Tool Connect2WSUS. Direkt auf den Clients ausführen und schon kanns losgehen.

 

Tools und andere Programmvorschläge von www.gruppenrichtlinien.de

[Dukel 437]

[...]

Die restlichen ca. vierzig Rechner kommt WSUS wohl nicht in Frage, da sie nicht in der Domäne stehen, daher dem SBS nicht bekannt sind und auch auch nicht verwaltet werden können. Oder liege ich da falsch?

[...]

 

Man kann Standalone Rechner nen Reg. Key mitgeben, bei denen der Wsus Server bekannt gemacht wird.

 

Btw. beim Datev System aufpassen, damit nicht alle möglichen Patches installiert werden.

[djmaker 95]

Stichwort: Connect2wsus @ google

[Sunny61 773]

Stichwort: Connect2wsus @ google

 

Zu spät. ;) https://www.mcseboard.de/post10-911328.html

[djmaker 95]

Zu spät. ;) https://www.mcseboard.de/post10-911328.html

 

Jo, Einfach überlesen. aber: doppelt hält besser. :)

[Scerijne 10]

Hallo miteinander

 

ein ganz dickes Dankeschön an alle.

 

Es ist einfach schön herkommen zu können und nachvollziehbare Antworten auf Fragen zu bekommen, die ich einfach schon zu lange unbeantwortet gelassen habe. So ganz langsam sehe ich mal Licht am Ende des Tunnels, auch wenns noch ein weiter Weg ist und noch viele viele Fragen, offen stehen...