2
Hausintern eigener WSUS, außerhalb normale Microsoft Update Server...
Hi, ich habe folgendes Problem:
Wir machen desöftern Rechner/Notebooks fertig die dann hier an den vorhandenen WSUS gehangen werden damit nicht immer zig GigaByte durch die DSL Leitung gehen.
Entweder sind diese Rechner dann in der Domain oder halt nicht...
Problem:
Wenn die Mitarbeiter etwas länger außerhalb unterwegs sind dann bekommen sie ja durch unseren Hausinternen WSUS keine Updates mehr für die Zeit.
Frage: Gibt es nun eine Möglichkeit die Rechner so zu konfigurieren dass sie erst nach einem WSUS gucken und falls der nicht verfügbar ist alternativ von den Microsoft Update Servern "ziehen"?!
Ich stelle mir da ganz dumm einfach eine Serverliste vor... ist das möglich? oder habt ihr evtl eine andere Idee ohne das der User manuell dran denken muß...
mfg
& herzlichen dank im voraus
Wir machen desöftern Rechner/Notebooks fertig die dann hier an den vorhandenen WSUS gehangen werden damit nicht immer zig GigaByte durch die DSL Leitung gehen.
Entweder sind diese Rechner dann in der Domain oder halt nicht...
Problem:
Wenn die Mitarbeiter etwas länger außerhalb unterwegs sind dann bekommen sie ja durch unseren Hausinternen WSUS keine Updates mehr für die Zeit.
Frage: Gibt es nun eine Möglichkeit die Rechner so zu konfigurieren dass sie erst nach einem WSUS gucken und falls der nicht verfügbar ist alternativ von den Microsoft Update Servern "ziehen"?!
Ich stelle mir da ganz dumm einfach eine Serverliste vor... ist das möglich? oder habt ihr evtl eine andere Idee ohne das der User manuell dran denken muß...
mfg
& herzlichen dank im voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130798
Url: https://administrator.de/contentid/130798
Printed on: April 26, 2024 at 11:04 o'clock
2 Comments
Latest comment
Frage: Wie lange sind eure Außendienstmitarbeiter (AD´ler) in der Regel unterwegs, bevor sie ihren Rechner wieder an das interne Netzwerk anstöpseln können?
Man muss dabei folgendes bedenken:
1.) Der MS Patchday ist nur ein mal im Monat. Es wird daher mit großer Warscheinlichkeit kaum einen Mitarbeiter geben, der länger als einen Monat nicht in der Firma ist. Normalerweise sind AD´ler ein mal in der Woche am Standort um Berichte zu verfassen, etc. Weichen die Zeiten eurer AD´ler von diesem Muster ab?
2.) Dient ein WSUS nicht nur dazu die Internetleitung weniger zu belasten, sondern auch dazu die Verteilung der Updates zu steuern. Gerade in einem Unternehmensumfeld sollte dieser Vorgang mehrere Schritte beinhalten:
a.) Prüfen der neu verfügbaren Updates auf sicherheitskritische Updates und solche, die nur Fehlerbehebungen und ähnliches beinhalten
b.) Testen der Updates auf einer Referenzmaschine um Fehler direkt zu bemerken.
c.) Ausrollen der Updates zunächst am lokalen Standort (um bei auftretenden Problemem schnell helfen und analysieren zu können. (1-2 Tage warten)
d.) Ausrollen der Updates
Wenn ihr eine solche Updatestrategie nicht anwendet, kann man die AD´ler auch einfach über eine Awareness Kampagne dazu bewegen die Updates per Internet regelmäßig selber anzustoßen. Eine einfach Rundmail von euch sollte da als Aufforderung genügen.
Das die Vorgehensweise, die du angesprochen hast, funktioniert, haben ich noch nicht gehört. Meines Wissens nach kann in der Registry nur 1 Schlüssel für den Updatedienst gesetzt werden.
Um sicher zu sein, das sich eure AD´ler unterwegs nichts einfangen, sollten sie von außerhalb grundsätzlich nur über VPN arbeiten und somit über den Unternehmensproxy surfen. So greifen die internen Sicherheitssysteme auch für die AD´ler und eine gut konfigurierte Windows Umgebung mit einem guten Endpoint Security System sollte das ganze Thema stark genug abfangen, um Updates über den Browser nicht notwenig werden zu lassen.
Man muss dabei folgendes bedenken:
1.) Der MS Patchday ist nur ein mal im Monat. Es wird daher mit großer Warscheinlichkeit kaum einen Mitarbeiter geben, der länger als einen Monat nicht in der Firma ist. Normalerweise sind AD´ler ein mal in der Woche am Standort um Berichte zu verfassen, etc. Weichen die Zeiten eurer AD´ler von diesem Muster ab?
2.) Dient ein WSUS nicht nur dazu die Internetleitung weniger zu belasten, sondern auch dazu die Verteilung der Updates zu steuern. Gerade in einem Unternehmensumfeld sollte dieser Vorgang mehrere Schritte beinhalten:
a.) Prüfen der neu verfügbaren Updates auf sicherheitskritische Updates und solche, die nur Fehlerbehebungen und ähnliches beinhalten
b.) Testen der Updates auf einer Referenzmaschine um Fehler direkt zu bemerken.
c.) Ausrollen der Updates zunächst am lokalen Standort (um bei auftretenden Problemem schnell helfen und analysieren zu können. (1-2 Tage warten)
d.) Ausrollen der Updates
Wenn ihr eine solche Updatestrategie nicht anwendet, kann man die AD´ler auch einfach über eine Awareness Kampagne dazu bewegen die Updates per Internet regelmäßig selber anzustoßen. Eine einfach Rundmail von euch sollte da als Aufforderung genügen.
Das die Vorgehensweise, die du angesprochen hast, funktioniert, haben ich noch nicht gehört. Meines Wissens nach kann in der Registry nur 1 Schlüssel für den Updatedienst gesetzt werden.
Um sicher zu sein, das sich eure AD´ler unterwegs nichts einfangen, sollten sie von außerhalb grundsätzlich nur über VPN arbeiten und somit über den Unternehmensproxy surfen. So greifen die internen Sicherheitssysteme auch für die AD´ler und eine gut konfigurierte Windows Umgebung mit einem guten Endpoint Security System sollte das ganze Thema stark genug abfangen, um Updates über den Browser nicht notwenig werden zu lassen.
Du kannst das mit Skripten lösen. Lass das Skript durch Ping feststellen, ob der WSUS erreichbar ist und wenn nicht, den passenden Registryeintrag auf Internetupdate umstellen. Danach den Updatedienst neu starten - fertig. Ist der WSUS erreichbar, wird halt auf den WSUS umgestellt. Dies Skript muss mit Admin- oder Systemrechten laufen, also am besten ein geplanter Task.