Weingeist 157 Geschrieben 24. Februar 2014 Melden Teilen Geschrieben 24. Februar 2014 Hallo Leute, Gibt es eine Möglichkeit einen WSUS-Server quasi als Master für beliebige WSUS-Server in verschiedenen Domänen zu definieren? Er soll sich dabei nur die Genehmigungen von diesem Master-WSUS holen, nicht jedoch die Daten. Diese sollen nach wie vor via MS kommen. Geht das? Habe leider nix im Netz gefunden. Die entsprechenden Computergruppen müsste der Master-Server auch alle haben. Eine andere Idee wäre ein Script mit jeweils allen genehmigten/abgelehnten Updates mit Hilfe der SQL-Datenbank zu erstellen bzw. erstellen zu lassen und dann jeweils bei den Kunden durchlaufen zu lassen. Entweder direkt als SQL-Script oder über den Powershell-Umweg. Ziel der Übung wäre es, bei Kundensystemen nicht immer alles genehmigen zu müssen. Ansonsten soll aber nix übertragen werden, keine Dateien, keine Computerkonten etc. Jemand ne Idee oder schon gemacht? Vielen Dank Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 24. Februar 2014 Melden Teilen Geschrieben 24. Februar 2014 (bearbeitet) Jepp, das geht schon. Schau dir in den Optionen vom WSUS den Punkt Dateien und Sprachen aktualisieren genauer an. Im Punkt Updatequelle und Proxy muss natürlich das passende eingetragen sein. EDIT: Dir ist schon klar dass eine Verbindung zwischen den beiden WSUS-Server bestehen muss und somit deiner im Internet stehen würde? Da würde ich auf alle Fälle auf SSL zwischen den Servern umstellen. Das Prinzip wird hier beschrieben: http://www.wsus.de/ssl_kommunikation Wenn der Master-WSUS auf SSL umgestellt ist, reicht es aus die Downstream auf den neuen Port umzustellen. Trotzdem würde ich das nur mit VPN-Verbindung laufen lassen. bearbeitet 24. Februar 2014 von Sunny61 Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 27. Februar 2014 Autor Melden Teilen Geschrieben 27. Februar 2014 (bearbeitet) Danke für die Antwort... Jo das ist schon so. Aber alle Kundennetze mit meinem zu verbinden finde ich nach reiflicher Überlegung aber eigentlich auch nicht so prickelnd. Bei einer solchen Verbindung werden aber im Haupt-WSUS immer alle Computer-Konten abgelegt oder? Und die Updates werden doch dann auch von diesem Master-WSUS geholt und nicht von Microsoft. Oder habe ich das falsch verstanden? Ob das lizenztechnisch geht weiss ich auch nicht so wirklich. Aber ich denke ich werde versuchen automatisch ein Script zusammenzustellen aufgrund der Einträge für die jeweiligen Updates in der SQL-Datenbank. Dürfte sicherer und einfacher zu realisieren sein. Muss ich nur herausfinden in welchen Tabellen die ganzen Angaben gespeichert sind. Hat evtl. schon jemand sowas gemacht und hat ne entsprechend SQL-Abfrage am Start? bearbeitet 27. Februar 2014 von Weingeist Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 27. Februar 2014 Melden Teilen Geschrieben 27. Februar 2014 Mit neueres OS' ist es möglich per Powershell den Wsus zu konfigurieren. Du kannst lokal per Script die Patches genehmigen und danach dieses Script auf die anderen Wsus' laufen lassen. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 27. Februar 2014 Autor Melden Teilen Geschrieben 27. Februar 2014 Jop, Danke. Genehmigungen scheinen wirklich per Powershell zu gehen. Habe mittlerweile herausgefunden, dass es in der DB bereit eine Sicht gibt welche einem die ganzen Daten ausliest. So hat man nen Anhaltspunkt mit welchen Tabellen man arbeiten muss. Selber eine Liste pflegen habe ich nicht so Lust. Schafft man eh fast nicht mit allen Ablehnungen usw. Denke da eher an sowas wie von meinem WSUS alles auslesen und dann automatisch abarbeiten. Muss dafür natürlich alle definierten Spezial-Gruppen der Kunden auch bei mir vorhalten (Spezielle Maschinensteuerung welche nicht alle Updates erhalten dürfen z.B.). Am Ende sollt es dann quasi so ablaufen: Schau ob das Update in der Liste/Tabelle den gleichen Status hat wie in der DB, falls nein, ändere es. Bissel was gefunden habe ich dazu schon, zumindest zum setzen aufgrund einer CSV-Datei. Mal sehen was da sonst noch auftreiben kann. Was ich mich noch gefragt habe: Die SQL-DB scheint so aufgebaut zu sein, dass man mehrer Übergeordnete Gruppen wie die Gruppe "Alle Computer" haben kann, gibt es dafür eine offizielle Prozedur, kann man die direkt in der DB eintragen oder überwirft sich da die GUI? Bis jetzt konnte ich via GUI nur Untergruppen von "Alle Computer" erstellen. Hätte ich mir schon öfter gewünscht. Gerade für Spezial-Clients wie Industriesteuerungen wo ich gerne einen komplett separaten Stamm hätte, damit für gewöhnlich das "Alle Computer" trotzdem ausgewählt werden kann und nicht aus versehen nicht plötzlich doch was falsches genehmigt wird. Wäre sinnvoller als diese Clients komplett von WSUS und Windows-Updates abzuschotten, damit keiner dumme Sachen machen kann. Ist der interne WSUS zuständig und die Gruppe komplett separat, könnte man das gut steuern und auch ab und wann wieder gezielt Updates einspielen oder ablehnen. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 27. Februar 2014 Melden Teilen Geschrieben 27. Februar 2014 Danke für die Antwort... Jo das ist schon so. Aber alle Kundennetze mit meinem zu verbinden finde ich nach reiflicher Überlegung aber eigentlich auch nicht so prickelnd. Ist sicherlich auch eine Belastung für den Master-WSUS und dessen SQL Datenbank. Bei einer solchen Verbindung werden aber im Haupt-WSUS immer alle Computer-Konten abgelegt oder? Und die Updates werden doch dann auch von diesem Master-WSUS geholt und nicht von Microsoft. Oder habe ich das falsch verstanden? Die Computerkonten liegen auf dem Master natürlich auch, den Download der Updates kannst Du steuern, Optionen > Dateien und Sprachen. Dort beim Downstream den richtigen Haken setzen, dann holt der sich die Updates bei MSFT. Ob das lizenztechnisch geht weiss ich auch nicht so wirklich. Du brauchst sicherlich Client-CALs für die zugreifenden Clients auf deinen Server. Selber eine Liste pflegen habe ich nicht so Lust. Schafft man eh fast nicht mit allen Ablehnungen usw. Denke da eher an sowas wie von meinem WSUS alles auslesen und dann automatisch abarbeiten. Muss dafür natürlich alle definierten Spezial-Gruppen der Kunden auch bei mir vorhalten (Spezielle Maschinensteuerung welche nicht alle Updates erhalten dürfen z.B.). Du kannst sicherlich alle Updates genehmigen per Script, die von den Clients angefordert wurden. Dann bist Du auf der sicheren Seite. Was ich mich noch gefragt habe: Die SQL-DB scheint so aufgebaut zu sein, dass man mehrer Übergeordnete Gruppen wie die Gruppe "Alle Computer" haben kann, gibt es dafür eine offizielle Prozedur, kann man die direkt in der DB eintragen oder überwirft sich da die GUI? Bis jetzt konnte ich via GUI nur Untergruppen von "Alle Computer" erstellen. Hätte ich mir schon öfter gewünscht. Wenn es viele Clients sind, würde sich evtl. ein eigener WSUS auszahlen, mußt halt auch ein eigenes GPO dafür erstellen. Eine offizielle Prozedur hab ich dafür noch nicht gefunden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.