S.R. 14 Geschrieben 4. Juni 2017 Melden Teilen Geschrieben 4. Juni 2017 Hallo, aktuell haben wir bei uns im Rechenzentrum den zentralen WSUS stehen. In jeder Zweigstelle steht ein RODC mit WSUS-Dienst, der als Downstream-Server konfiguriert ist; sich somit die Konfiguration vom zentralen WSUS im RZ holt und die Updates dann von Microsoft. Die Clients erhalten nach der Anmeldung am jeweiligen Standort die richtige Gruppenrichtlinie zugewiesen und somit wissen diese, an welchem WSUS sie sich melden müssen und wo sie Updates erhalten. Das klappt aktuell tadellos. Nun haben wir immer mehr Rechner, die auch über einen längeren Zeitraum (teilweise zwei oder drei Monate) nicht an einem Standort betrieben werden sondern bei einem Kunden vor Ort. Somit erhalten diese Rechner aktuell für diesen Zeitraum keine Updates. Dies soll in Zukunft allerdings ermöglicht werden. Ziel ist folgendes: - am zentralen WSUS soll wie bisher erkennbar sein, welcher Client welchen Update-Status hat - Ist der Rechner an einem Standort, dann soll er dort den WSUS für Updates verwenden - ist der Rechner an keinem Standort, dann soll er über https://wsus.domain.tld die Anfrage stellen und dann von MS die erlaubten Updates laden Ich habe allerdings keinen blassen Schimmer, wie ich das in die Gruppenrichtlinie packen soll? Weil der Rechner meldet sich ja nicht an der Domain an; heißt er bekommt auch keine neue GPO und somit auch nicht die Info, dass er die MS-Download-Server nutzen soll. Wo liegt da mein Denkfehler oder denke ich einfach zu kompliziert? Ich danke für entsprechende Ideen und Ansätze :-) Beste Grüße Stefan Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 4. Juni 2017 Melden Teilen Geschrieben 4. Juni 2017 Ist doch einfach. Zwei wsus Server. Einer für intern wie bisher und einer für extern. Dann per Split-DNS den selben Namen intern wie extern verwenden. Aber zentral wirst du das nicht in der selben wsus Konsole hinbekommen, sondern musst eben auf beide wsus server schauen. Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 4. Juni 2017 Autor Melden Teilen Geschrieben 4. Juni 2017 das Problem, was ich sehe: Die Mitarbeiter arbeiten 90% an einem Standort, bekommen dort also per GPO die WSUS-Konfiguration. Dann packen sie ihre Sachen und sind für drei Monate weg. Woher bekommen die Rechner die neue Konfiguration? Ich kann also nicht genau vorhersagen, wann und welches Gerät ist. Somit kann ich leider auch nicht deinen Gedanken nachvollziehen, wie ich das mit dem Split-DNS hinbekommen soll... Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 4. Juni 2017 Melden Teilen Geschrieben 4. Juni 2017 Melden sich die Clients/User zwischendurch nicht per VPN an der Domain an? Falls nein, wirst Du um den Zwang sich beim WSUS zu melden, nicht umhin kommen. Du kannst den WSUS ja öffentlich verfügbar machen, der WSUS sollte dazu natürlich von außen erreichbar sein. So hat Norbert das gemeint. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 4. Juni 2017 Melden Teilen Geschrieben 4. Juni 2017 Gar nicht, deswegen sollst du ja den selben Namen verwenden. Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 5. Juni 2017 Autor Melden Teilen Geschrieben 5. Juni 2017 Hi, vielen Dank für eure Hilfe. Habe das jetzt in einem Testaufbau nachgestellt und es klappt wie es sollte: - weiteren WSUS eingerichtet, der nur die WSUS-Datenbank vom Upstream-Server erhält, aber lokal keine Updates vorhält; entsprechend holen sich die Clients die freigegebenen Updates von den MS-Servern - habe eine A-Record im öffentlichen DNS für wsus.domain.tld eingerichtet; somit ist der WSUS von extern über https://wsus.domain.tld erreichbar - im Firmen-DNS habe ich auf den Windows-Servern die interne IP vom neuen WSUS hinterlegt; auch dies klappt tadellos Nun habe ich noch das Problem, dass ich den internen DNS-Eintrag pro Standort definieren muss. Ich finde hier aber keine Möglichkeit... oder übersehe ich da etwas. Ich bräuchte da sowas wie: - Wenn du von Standort X anfragst: 10.1.1.X - Wenn du von Standort Y anfragst: 10.1.2.X - ansonsten: öffentliche IP Wir haben aktuell zwei zentrale DNS-Server im Rechenzentrum; Windows Server 2012 R2. Bin auf eure Gedanken und Ansätze gespannt... weil das ist der letzte Punkt der noch fehlt - dann klappt das Szenario bestens und alle Anforderungen wären tadellos umgesetzt worden. Schon jetzt herzlichen Dank! Gruß Stefan Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 5. Juni 2017 Melden Teilen Geschrieben 5. Juni 2017 Hätte man ja auch gleich schreiben können. Man man man. Vielleicht hilft das: https://support.microsoft.com/en-us/help/842197/description-of-the-netmask-ordering-feature-and-the-round-robin-feature-in-windows-server-2003-dns Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.