Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

WSUS über Gruppenrichtlinie

72 views
Skip to first unread message

Jens Weber

unread,
Apr 14, 2010, 5:26:08 AM4/14/10
to
Hoffe ich bin hier richtig,

wenn ich einen WSUS im Netzwerk habe, wie konfiguriere ich Notebooks,
damit sie, wenn sie länger nicht am Netzwerk sind, die MS Updates über
Microsoft und nicht den WSUS ziehen. Intern ist klar und funktioniert
reibungslos.

Danke für einen Tipp

Jens

Winfried Sonntag [MVP]

unread,
Apr 14, 2010, 6:02:56 AM4/14/10
to
Jens Weber schrieb:

> wenn ich einen WSUS im Netzwerk habe, wie konfiguriere ich Notebooks,
> damit sie, wenn sie länger nicht am Netzwerk sind, die MS Updates über
> Microsoft und nicht den WSUS ziehen. Intern ist klar und funktioniert
> reibungslos.

Das geht nur über einen zweiten WSUS. Den kannst Du natürlich auch als
Downstream des ersten WSUS installieren. Dann brauchst Du die Updates
auch nur einmal freigeben.
http://www.gruppenrichtlinien.de/Bilder/WSUS3_56.gif

Verbinden sich die Clients denn nicht per VPN mit dem WSUS? Wenn ja,
dann holen sie sich ja auch die Updates vom WSUS. Falls Du glaubst, es
wird zu viel der Leitungskapazität verwendet, dann kannst Du dafür
benutzten Dienst, den BITS, entsprechend konfigurieren.
http://www.wsus.de/bits

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Ingo Böttcher

unread,
Apr 15, 2010, 6:10:07 PM4/15/10
to
Am Wed, 14 Apr 2010 12:02:56 +0200 schrieb Winfried Sonntag [MVP]:

>> damit sie, wenn sie länger nicht am Netzwerk sind, die MS Updates über
>> Microsoft und nicht den WSUS ziehen. Intern ist klar und funktioniert
>> reibungslos.
>
> Das geht nur über einen zweiten WSUS. Den kannst Du natürlich auch als
> Downstream des ersten WSUS installieren. Dann brauchst Du die Updates
> auch nur einmal freigeben.
> http://www.gruppenrichtlinien.de/Bilder/WSUS3_56.gif

Hmm...erläutere das doch mal näher. Ich steh auch noch vor dem Problem,
aber das abgebildete WSUS Konfigurationsfenster hat doch gar nichts mit dem
Problem zu tun, dass die Notebooks von zu Hause nun einmal nicht den WSUS
der Firma erreichen.

> Verbinden sich die Clients denn nicht per VPN mit dem WSUS?

Hier nicht. Wenn Notebooks ausser Haus gehen, dann sind die manchmal
monatelang nicht am Firmennetz, auch nicht über VPN.
Ich hatte schon mit dem Gedanken gespielt, ein Shutdown-Script zu
verteilen, damit alle Notebooks beim Herunterfahren die WSUS Policy
rauswerfen und normales Autoupdate aktivieren. Problem dabei sind dann halt
die Benutzer, die das Notebook täglich nach Hause und wieder in die Firma
schleppen. Die würden ja ständig Updates bekommen, die wir im Firmenumfeld
noch gar nicht freigegeben haben.

Alternativ müsste man so ein Script bauen, was überprüft, wie lange der
Rechner nicht den Firmen-WSUS gesehen hat und die Policy dann killt, wenn
z.B. über 30 Tage kein WSUS in Sicht war und sich dann direkt über
Microsoft versorgt.

--
Und tschüß | Bitte nach Möglichkeit keine Rückfragen per Mail. Ich lese
Ingo | die Gruppen, in denen ich schreibe.
| Die E-Mail Adresse ist gültig, bitte nicht verstümmeln!

Winfried Sonntag [MVP]

unread,
Apr 16, 2010, 4:13:12 AM4/16/10
to
Ingo Böttcher schrieb:

> Am Wed, 14 Apr 2010 12:02:56 +0200 schrieb Winfried Sonntag [MVP]:
>
>>> damit sie, wenn sie länger nicht am Netzwerk sind, die MS Updates über
>>> Microsoft und nicht den WSUS ziehen. Intern ist klar und funktioniert
>>> reibungslos.
>>
>> Das geht nur über einen zweiten WSUS. Den kannst Du natürlich auch als
>> Downstream des ersten WSUS installieren. Dann brauchst Du die Updates
>> auch nur einmal freigeben.
>> http://www.gruppenrichtlinien.de/Bilder/WSUS3_56.gif
>
> Hmm...erläutere das doch mal näher. Ich steh auch noch vor dem Problem,
> aber das abgebildete WSUS Konfigurationsfenster hat doch gar nichts mit dem
> Problem zu tun, dass die Notebooks von zu Hause nun einmal nicht den WSUS
> der Firma erreichen.

Du installierst in der Firma einen zweiten WSUS. Bei dem zweiten WSUS
machst Du den Haken rein bei: [X] Dateien von Microsoft Update, nicht
vom Upstream downloaden. Aber Du hast Recht, wenn Sie nie den WSUS
erreichen, dann wissen sie auch nichts von neuen Updates. Und schon
können sie auch keine downloaden. Da wäre evtl. das Tool von Peter
Schirmer was für dich: http://www.faq-o-matic.net/author/peter-schirmer/

Ingo Böttcher

unread,
Apr 16, 2010, 4:18:37 PM4/16/10
to
Am Fri, 16 Apr 2010 10:13:12 +0200 schrieb Winfried Sonntag [MVP]:

>> Hmm...erläutere das doch mal näher. Ich steh auch noch vor dem Problem,
>> aber das abgebildete WSUS Konfigurationsfenster hat doch gar nichts mit dem
>> Problem zu tun, dass die Notebooks von zu Hause nun einmal nicht den WSUS
>> der Firma erreichen.
>
> Du installierst in der Firma einen zweiten WSUS. Bei dem zweiten WSUS
> machst Du den Haken rein bei: [X] Dateien von Microsoft Update, nicht
> vom Upstream downloaden.

Ja, dann habe ich noch einen WSUS. Davon hab ich momentan schon deutlich
über ein Dutzend, die sich alle so ihre Konfiguration vom zentralen
Standort holen, die Softwarepakete selber aber direkt von Microsoft.
Irgendwie verstehe ich aber gerade absolut nicht, was das überhaupt mit der
Problemstellung auch nur entfernt zu tun hat?

> Aber Du hast Recht, wenn Sie nie den WSUS
> erreichen, dann wissen sie auch nichts von neuen Updates. Und schon
> können sie auch keine downloaden.

Gut, dann wären wir ja jetzt beim eigentlichen Problem, wie Jens das ja
wohl auch hat. ;-)

> Da wäre evtl. das Tool von Peter
> Schirmer was für dich: http://www.faq-o-matic.net/author/peter-schirmer/

Das braucht Benutzer-Interaktion, wenn ich das richtig sehe. Im Prinzip
würde es mir reichen, wenn bei Notebooks, die (länger als meinetwegen 30
Tage) außer Haus sind, von WSUS auf normales Autoupdate über Microsoft
umgeschaltet wird. Also WSUS Policy rauswerfen und normales automatisches
Update aktivieren.

Winfried Sonntag [MVP]

unread,
Apr 16, 2010, 4:43:03 PM4/16/10
to
Ingo Böttcher schrieb:

> Am Fri, 16 Apr 2010 10:13:12 +0200 schrieb Winfried Sonntag [MVP]:
>> Da wäre evtl. das Tool von Peter
>> Schirmer was für dich: http://www.faq-o-matic.net/author/peter-schirmer/
>
> Das braucht Benutzer-Interaktion, wenn ich das richtig sehe. Im Prinzip
> würde es mir reichen, wenn bei Notebooks, die (länger als meinetwegen 30
> Tage) außer Haus sind, von WSUS auf normales Autoupdate über Microsoft
> umgeschaltet wird. Also WSUS Policy rauswerfen und normales automatisches
> Update aktivieren.

Das könnte man mit Hilfe eines selbst geschriebenen Dienst erledigen.
Der Dienst prüft täglich nach ob der WSUS zu erreichen ist. Wenn die
Frist abgelaufen ist, dann die beiden Einstellungen aus der Registry
löschen. Dienst deshalb, den kannst Du problemlos unter einem
administrativen Dienstkonto laufen lassen. Die Starteinstellungen per
GPO steuern und auch die NTFS-Berechtigungen dazu.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
WUServer"="http://WSUS-Server-Name oder IP-Adresse:Port"
"WUStatusServer"="http://WSUS-Server-Name oder IP-Adresse:Port"

IMHO kannst Du den Rest drin stehen lassen, probiers aber auf alle
Fälle aus.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe

GPO's: www.gruppenrichtlinien.de

0 new messages