S.R. 14 Geschrieben 26. August 2015 Melden Teilen Geschrieben 26. August 2015 Hallo, wir überarbeiten gerade unsere WSUS-Infrastruktur und wollen direkt auch drei Zweigstellen mit anbinden. Unser Konzept sieht wie folgt aus: - Zentrale: WSUS-Master - pro Zweigstelle: ein WSUS im Replikationsmodus - die Zweigstellen holen sich die Konfiguration vom Master; die Updates werden dann von MS geladen, damit die Standleitung/VPN-Strecke nicht zu sehr belastet wird - alle Clients haben den Master als Statistik-Server via GPO verteilt bekommen, damit zentral geschaut wird, wie der aktuelle Stand ist Soweit klappt dies auch. Nun stellt sich mir noch die Frage, wie ich sinnvollerweise den Updatedienst-Server (bzw. die URL davon) verteile. Aktuell würde ich behaupten, dass ich für jeden Standort eine Gruppenrichtlinie anlegen muss, wo ich entsprechend den lokalen WSUS hinterlege, richtig? Oder gibt es hier ein anderes Konzept? Muss ich sonst noch was berücksichtigen? Weil das hört sich viel zu einfach an... dass ich's kaum glauben kann :-) Ich warte gespannt auf eure Einschätzung und eure Tipps!!! Dankend Stefan Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 26. August 2015 Melden Teilen Geschrieben 26. August 2015 (bearbeitet) - die Zweigstellen holen sich die Konfiguration vom Master; die Updates werden dann von MS geladen, damit die Standleitung/VPN-Strecke nicht zu sehr belastet wird Du kannst den WSUS bzw. den BITS, das ist der Dienst der die Updates von A nach B transportiert, auch begrenzen. http://wsus.de/bits Soweit klappt dies auch. Nun stellt sich mir noch die Frage, wie ich sinnvollerweise den Updatedienst-Server (bzw. die URL davon) verteile. Aktuell würde ich behaupten, dass ich für jeden Standort eine Gruppenrichtlinie anlegen muss, wo ich entsprechend den lokalen WSUS hinterlege, richtig? Oder gibt es hier ein anderes Konzept? Richtig, Du kannst die GPOs auch in der Domain ansiedeln, und einen passenden WMI-Filter auf das IP-Segment erstellen. Dann bekommen Clients immer den richtigen WSUS, bzw. das richtige GPO zugewiesen. Muss ich sonst noch was berücksichtigen? Weil das hört sich viel zu einfach an... dass ich's kaum glauben kann :-) Wenn deine WSUS-Server auf W2008R2 oder kleiner installiert sind, prüfe unbedingt die Build des WSUS ab. Details wo die Build zu finden ist, welche Updates man für welche Build benötigt, findest Du in der WSUS-FAQ No. 44: http://wsus.de/faq bearbeitet 26. August 2015 von Sunny61 Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 26. August 2015 Autor Melden Teilen Geschrieben 26. August 2015 Hi, vielen Dank für die schnelle Antwort. Gibt es denn einen Vorteil, wenn die Replica-WSUS die Updates vom WSUS-Master holen als diese über MS zu holen? Aus meiner Sicht spare ich die Last auf der Standleitung (egal ob reduziert oder nicht) und nutze nur die Verbindung ins Internet aus. Sicherlich ein wichtiger Tipp, aber DEN Vorteil erkenne ich noch nicht :-) Ich habe jetzt eine "Windows-Update" GPO angelegt, wo alles konfiguriert ist außer der Parameter "Interner Pfad für den Microsoft Updatedienst angeben" - also die zwei URLs - und die der gesamten Domain zugewiesen. Dann habe ich für jeden Standort eine weitere GPO "Windows-Update *Standort*", diese dann entsprechend dem Active-Directory-Standort zugewiesen und dort dann nur die zwei standortabhängigen Pfade eingetragen. Somit sollten alle Clients die richtigen Werte erhalten. Wir haben bereits vollständig auf W2K12 R2 migriert und damit ein paar Altlasten beseitig. War zwar ein Kampf und ein paar Nachwehen gibt es noch - aber die Vorteile überwiegen :-) Ich danke für deine Mühen! Gruß Stefan Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 26. August 2015 Melden Teilen Geschrieben 26. August 2015 Gibt es denn einen Vorteil, wenn die Replica-WSUS die Updates vom WSUS-Master holen als diese über MS zu holen? Aus meiner Sicht spare ich die Last auf der Standleitung (egal ob reduziert oder nicht) und nutze nur die Verbindung ins Internet aus. Sicherlich ein wichtiger Tipp, aber DEN Vorteil erkenne ich noch nicht :-) Du kannst es so oder so machen, wie Du möchtest. Ich habe jetzt eine "Windows-Update" GPO angelegt, wo alles konfiguriert ist außer der Parameter "Interner Pfad für den Microsoft Updatedienst angeben" - also die zwei URLs - und die der gesamten Domain zugewiesen. Dann habe ich für jeden Standort eine weitere GPO "Windows-Update *Standort*", diese dann entsprechend dem Active-Directory-Standort zugewiesen und dort dann nur die zwei standortabhängigen Pfade eingetragen. Somit sollten alle Clients die richtigen Werte erhalten. Denk aber zukünftig dran, das Du GPOs auf den Standort zugewiesen hast. Du wärst nicht der erste der über ein solches vergessenes GPO stolpert. Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 26. August 2015 Autor Melden Teilen Geschrieben 26. August 2015 Das mit der zukünftigen Vergesslich habe ich auch schon im Hinterkopf und befürchte ich auch :-) Gibt es denn n' Möglichkeit, dies irgendwie "geschickter" hinzubekommen? Aktuell fällt mir da nämlich nicht wirklich was ein... Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 26. August 2015 Melden Teilen Geschrieben 26. August 2015 Gibt es denn n' Möglichkeit, dies irgendwie "geschickter" hinzubekommen? Aktuell fällt mir da nämlich nicht wirklich was ein... Hatte ich doch geschrieben: Du kannst die GPOs auch in der Domain ansiedeln, und einen passenden WMI-Filter auf das IP-Segment erstellen. Zitieren Link zu diesem Kommentar
Light 12 Geschrieben 26. August 2015 Melden Teilen Geschrieben 26. August 2015 Du kannst im WSUS noch die Sprachen und Produkte einschränken, zu denen Du Updates herunterladen möchtest. Klug ist auch die Updates erst mal einer Testgruppe zuzuweisen bevor Du alles lahmlegst. Bedenke dem Speicher für Updates auf den Servern genügend Raum zu geben. Light Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.