WSUS für VPN-Clients deaktivieren
Nils Wöhler
bei einem Kunden von uns, wählen sich die mobilen Clients per UMTS über VPN
in das Netzwerk ein.
Nun möchte der Kunde, dass die Clients, die per UMTS eingewählt sind,
vom WSUS _keine_ Updates bekommen um Traffickosten zu sparen und die
UMTS-Leitungen nicht unnötig zu belasten.
Kann ich das in irgendeiner Form über Gruppenrichtlinien regeln?
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.
Mark Heitbrink [MVP]
Nils Wöhler schrieb:
> bei einem Kunden von uns, wählen sich die mobilen Clients per UMTS über VPN
> in das Netzwerk ein.
> Nun möchte der Kunde, dass die Clients, die per UMTS eingewählt sind,
> vom WSUS _keine_ Updates bekommen um Traffickosten zu sparen und die
> UMTS-Leitungen nicht unnötig zu belasten.
Erstelle fürs VPN ein eigenes IP Subnetz. Definiere dieses als Standort
im AD. Jetzt kannst du GPOs auf der Site (Standort) definieren, in denen
der WUAU abgeschaltet ist.
Die Standortrichtlinien sind IP basierend und "dynamisch", werden
aufgrund der IP übernommen, nicht aufgrund der OU, in der der Client
gespeichert ist.
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Helmut Schneider
> Hi,
> Nils Wöhler schrieb:
>> bei einem Kunden von uns, wählen sich die mobilen Clients per UMTS
>> über VPN in das Netzwerk ein.
>> Nun möchte der Kunde, dass die Clients, die per UMTS eingewählt sind,
>> vom WSUS _keine_ Updates bekommen um Traffickosten zu sparen und die
>> UMTS-Leitungen nicht unnötig zu belasten.
> Erstelle fürs VPN ein eigenes IP Subnetz.
Hm, das funktioniert nur, wenn man dem Client eine IP aus einem Pool zur
Verfügung stellt. Ansonsten kann die IP des Clients aus *vielen*
Adressbereichen kommen.
Aber gibt es nicht eine Richtlinie, den BITS auf eine Mindest-Bandbreite zu
beschränken?
Gruß, Helmut
Norbert Fehlauer [MVP]
Hi,
> Hm, das funktioniert nur, wenn man dem Client eine IP aus einem Pool
> zur Verfügung stellt. Ansonsten kann die IP des Clients aus *vielen*
> Adressbereichen kommen.
Nö kann sie nicht wenn du per VPN kommst. ;)
> Aber gibt es nicht eine Richtlinie, den BITS auf eine
> Mindest-Bandbreite zu beschränken?
Ja aber minimal 10kB.
Bye
Norbert
Helmut Schneider
> Helmut Schneider wrote:
>> Hm, das funktioniert nur, wenn man dem Client eine IP aus einem Pool
>> zur Verfügung stellt. Ansonsten kann die IP des Clients aus *vielen*
>> Adressbereichen kommen.
> Nö kann sie nicht wenn du per VPN kommst. ;)
VPN bdeutet nicht zwangsläufig "private network".
Dementsprechend stehen viele meiner Clients mit einer IP aus den Bereichen
85.205.0.0 - 85.205.255.255
90.186.0.0 - 90.187.255.255
hier im WSUS.
Gruß, Helmut
--
Please do not feed my mailbox, Swen still does his job well
Norbert Fehlauer [MVP]
Hi,
> VPN bdeutet nicht zwangsläufig "private network".
Nicht? Wofür steht das PN denn bei dir? ;)
> Dementsprechend stehen viele meiner Clients mit einer IP aus den
> Bereichen 85.205.0.0 - 85.205.255.255
> 90.186.0.0 - 90.187.255.255
> hier im WSUS.
Na dann kennst du doch deine IP Bereiche, wo ist denn jetzt nochmal dein
Problem? ;) Was für ein VPN nutzt du denn (rein interessehalber)?
Bye
Norbert
--
Dilbert's words of wisdom #32: If it wasn't for the last minute,
nothing would get done.
Helmut Schneider
> Helmut Schneider wrote:
> Hi,
>> VPN bdeutet nicht zwangsläufig "private network".
> Nicht? Wofür steht das PN denn bei dir? ;)
>> Dementsprechend stehen viele meiner Clients mit einer IP aus den
>> Bereichen 85.205.0.0 - 85.205.255.255
>> 90.186.0.0 - 90.187.255.255
>> hier im WSUS.
> Na dann kennst du doch deine IP Bereiche, wo ist denn jetzt nochmal dein
> Problem? ;)
Genau, ich pflege alle Dial-up-/GSM-/UMTS-Netze der Welt als Standorte in
meinem AD... :)
> Was für ein VPN nutzt du denn (rein interessehalber)?
CheckPoint, ohne Office Mode.
Mark Heitbrink [MVP]
Helmut Schneider schrieb:
> Genau, ich pflege alle Dial-up-/GSM-/UMTS-Netze der Welt als Standorte in
> meinem AD... :)
Na gut, dann halt nicht als Standort, sondern als WMI Filter.
Entweder, allem widersprechen was doe WSUS GPO mitbringt, wenn es
ein bestimmtes Subnetz ist, oder nur anwenden, wenn ...
Wäre das eine Idee?
Helmut Schneider
> Helmut Schneider schrieb:
>> Genau, ich pflege alle Dial-up-/GSM-/UMTS-Netze der Welt als Standorte
>> in meinem AD... :)
> Na gut, dann halt nicht als Standort, sondern als WMI Filter.
> Entweder, allem widersprechen was doe WSUS GPO mitbringt, wenn es
> ein bestimmtes Subnetz ist, oder nur anwenden, wenn ...
> Wäre das eine Idee?
Durchaus, wobei ich vorher wohl eher den Zugriff auf WSUS via VPN
unterbinden würde.
Gruß, Helmut
Mark Heitbrink [MVP]
Helmut Schneider schrieb:
> [WMI Filter]
> Durchaus, wobei ich vorher wohl eher den Zugriff auf WSUS via VPN
> unterbinden würde.
Beispiel:
SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPSubnet='192.168.1'
oder
SELECT * FROM Win32_NetworkAdapterConfiguration WHERE NOT IPSubnet='192.168.1'
Mach was draus :-)
Helmut Schneider
> Helmut Schneider schrieb:
>> [WMI Filter]
>> Durchaus, wobei ich vorher wohl eher den Zugriff auf WSUS via VPN
>> unterbinden würde.
> Beispiel:
> SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPSubnet='192.168.1'
> oder
> SELECT * FROM Win32_NetworkAdapterConfiguration WHERE NOT
> IPSubnet='192.168.1' Mach was draus :-)
Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients Zugriff im
IIS auf /Content zu geben.
Norbert Fehlauer [MVP]
Hi,
> Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients
> Zugriff im IIS auf /Content zu geben.
Ich denke du denkst falsch ;)
Bye
Norbert
Helmut Schneider
Norbert Fehlauer [MVP]
Hi,
>>> Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients
>>> Zugriff im IIS auf /Content zu geben.
>> Ich denke du denkst falsch ;)
Weil du das dann statt mittels WMI Abfrage, wie von Mark dargestellt, mit
eigener Gruppenabbildung realisieren mußt. Und das ist in diesem Fall
unhandlicher, da ziemlich statisch.
Bye
Norbert
Helmut Schneider
Ersetze "bestimmte Clients" durch "bestimmte IPs", besser? Damit können die
Clients (IPs) zwar ihren Status reporten, aber nichts runterladen.
Ich finde die Lösung von Mark ja auch schön, aber habe z.B. mehrere
(Sub-)Domains und auch Clients, die nicht Mitglied einer Domain sind, bei
denen die Einstellungen via REG-Import gesetzt werden.
Oder steh ich grad auf'm Schlauch? Übersehe ich etwas?
Norbert Fehlauer [MVP]
Hi,
> Ersetze "bestimmte Clients" durch "bestimmte IPs", besser?
Wie würdest du das denn blocken? Per Firewall oder wie?
> Damit
> können die Clients (IPs) zwar ihren Status reporten, aber nichts
> runterladen.
Das geht aber einfacher ;)
> Ich finde die Lösung von Mark ja auch schön, aber habe z.B. mehrere
> (Sub-)Domains
Und?
> und auch Clients, die nicht Mitglied einer Domain sind,
> bei denen die Einstellungen via REG-Import gesetzt werden.
Dann gib denen eine Gruppe auf dem WSUS die keine Installationen bewilligt
hat.
> Oder steh ich grad auf'm Schlauch? Übersehe ich etwas?
Ja, du suchst dir meiner Meinung nach den falschen Weg. Aber dazu
diskutieren wir hier ja ;)
Bye
Norbert
--
Dilbert's words of wisdom #11: Last night I lay in bed looking up at
the stars in the sky and I thought to myself, "Where the heck is the
ceiling?!
Helmut Schneider
Norbert Fehlauer [MVP] <n.feh...@gmx.net> wrote:
> Helmut Schneider wrote:
> Hi,
>> Ersetze "bestimmte Clients" durch "bestimmte IPs", besser?
> Wie würdest du das denn blocken? Per Firewall oder wie?
Nicht blocken, im IIS den Zugriff auf /Content nur für bestimmte Netze
erlauben.
>> Damit
>> können die Clients (IPs) zwar ihren Status reporten, aber nichts
>> runterladen.
> Das geht aber einfacher ;)
>> Ich finde die Lösung von Mark ja auch schön, aber habe z.B. mehrere
>> (Sub-)Domains
> Und?
Ich müsste den WMI-Filter für viele Domains/GPOs konfigurieren.
>> und auch Clients, die nicht Mitglied einer Domain sind,
>> bei denen die Einstellungen via REG-Import gesetzt werden.
> Dann gib denen eine Gruppe auf dem WSUS die keine Installationen
> bewilligt hat.
Na, dann installieren sie aber gar nicht, ist doch auch blöd. :)
Ich (OP) will ja nur, dass nichts installiert wird, solange die Clients
"auswärts" sind. Und den IIS sähe ich hier als SPoC (single point of
configuration).
Norbert Fehlauer [MVP]
> n'Abend,
Moins,
> Nicht blocken, im IIS den Zugriff auf /Content nur für bestimmte Netze
> erlauben.
Ah ok. Dann versuch das. Kannst ja hier berichten.
Bye
Norbert
Nils Wöhler
Ich denke auch, dass der IIS die einfachste und zentralste Anlaufstelle
dafür ist. Zumal das ganze relativ einfach zu bewerkstelligen ist.
Die VPN-Clients laufen bei mir in einem eigenen Netz. Bsp:
192.168.5.0/24 = intern
192.168.6.0/24 = vpn-clients
Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus und schon haben
die Clients, die gerade unterwegs sind ruhe vor Updates.
"Norbert Fehlauer [MVP]" <n.feh...@gmx.net> schrieb im Newsbeitrag
news:e1gZNrd...@TK2MSFTNGP05.phx.gbl...
Helmut Schneider
> Ich schalte mich hier auch mal wieder ein :)
> Ich denke auch, dass der IIS die einfachste und zentralste Anlaufstelle
> dafür ist. Zumal das ganze relativ einfach zu bewerkstelligen ist.
> Die VPN-Clients laufen bei mir in einem eigenen Netz. Bsp:
> 192.168.5.0/24 = intern
> 192.168.6.0/24 = vpn-clients
> Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus und schon
> haben die Clients, die gerade unterwegs sind ruhe vor Updates.
Also, ich teste noch (bis jetzt sieht es gut aus), aber wenn überhaupt, dann
nur für /Content. Reporten sollen die Clients ja noch, nur nichts herunter
laden...
Helmut Schneider
So als Nachtrag, funktioniert einwandfrei.
Nils Wöhler
"Helmut Schneider" <jump...@gmx.de> schrieb im Newsbeitrag
news:5da5ktF...@mid.individual.net...
Mark Heitbrink [MVP]
Helmut Schneider schrieb:
>>> Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus [...]
> So als Nachtrag, funktioniert einwandfrei.
Cool und so schön trivial im Gegensatz zu allen anderen Lösungen :-)
Helmut Schneider
> Helmut Schneider schrieb:
>>>> Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus [...]
>> So als Nachtrag, funktioniert einwandfrei.
> Cool und so schön trivial im Gegensatz zu allen anderen Lösungen :-)
Verarscht Du mich/uns?! :)
Mark Heitbrink [MVP]
Helmut Schneider schrieb:
> Verarscht Du mich/uns?! :)
Sicherlich nicht. Ich finde es mal wieder geil, wie man über den Weg der
Gruppenrichtlinien und Newsgroups auf eine coole Lösung kommt, die
garnichts mit dem ersten Thema zu tun hatte und sicherlich die einfachere
der Lösungen ist.
Helmut Schneider
> Helmut Schneider schrieb:
>> Verarscht Du mich/uns?! :)
> Sicherlich nicht. Ich finde es mal wieder geil, wie man über den Weg der
> Gruppenrichtlinien und Newsgroups auf eine coole Lösung kommt, die
> garnichts mit dem ersten Thema zu tun hatte und sicherlich die einfachere
> der Lösungen ist.
Achso, na dann! :)
Nils Wöhler
Dann hätte ich alle Daten irgendwie zentral administrierbar.
Leider fand ich den weg über die Gruppenrichtlinien einfach viel viel viel
zu umständlich.
Die Einrichtung hätte sicherlich einiges mehr an Zeit gekostet als das
einfache aussperren der Clients.
"Helmut Schneider" <jump...@gmx.de> schrieb im Newsbeitrag
news:5e1f10F...@mid.individual.net...