Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS übers Internet für externen Zugriff bereitstellen

Mitglied: sebbo02

sebbo02 (Level 1) - Jetzt verbinden

12.02.2013 um 10:49 Uhr, 2280 Aufrufe, 25 Kommentare

Hallo bin gerade dabei eine Lösung zu finden um auch Mitarbeiter die für 2-3 Monate nicht in der Firma sind mit Updates zu versorgen.

Wäre es möglich den WSUS dafür Online zu stellen um von überall darauf zu zugreifen?

VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.

Wäre für jede Hilfe oder jeden Vorschlag dankbar
Mitglied: Ravers
12.02.2013 um 11:44 Uhr
Moin moin,

mal ehrlich = warum?
Würde das "normale" Update einstellen, so hast du auch weniger Verkehr an deiner Leitung.
Nur der Überwachung wegen? - Würde es so einstellen, das die Updates sich aut. Downloaden und installieren.
Geht der Rechner weder ins Inet noch in dein Netzwerk, so ist das Update auch nicht von nöten.

greetz
ravers
Bitte warten ..
Mitglied: sebbo02
12.02.2013 um 11:51 Uhr
Unsere Mitarbeiter sind mal 1 Monat hier dann aber auch mal nen halbes Jahr weg. In diesem halben Jahr würden Sie keine Updates bekommen.
Die Rechner gehen regelmäßig ins Internet und auch in mein Netz.
Über das Online Update haben wir keine Möglichkeit zu schauen ob die Updates gelaufen sind oder nicht, denn die Mitarbeiter starten das Update nicht selbstständig, zumindest einige. Es soll alles kontrolliert uns selbstständig laufen und nur geprüfte Updates installiert werden da wir sonst keinen Support leisten können wenn sie in der Welt unterwegs sind.
Bitte warten ..
Mitglied: Ravers
12.02.2013 um 13:31 Uhr
Hi,

wie gehen die MA den in dein Netz?
Hoffe über eine gesicherte Verbindung (z.B. VPN) - und schwubbs, ist dein Problem weg.

Hier mache ich etwas anders. Lasse alle Updates übers Internet laufen, kommen Sie hier mal rein bekommen Sie über WSUS-Offline die Updates, wenn Updates nicht gemacht wurden bzw. fehlerhaft eingespielt wurden.
Heißt das, das Ihr alle Updates vorher auf Herz und Nieren prüft?

Zitat:
VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.

Wer sagt das? Der IT-Leiter bzw. GF oder die User selbst? Vielleicht haben die dann eine Lösung
Weiterhin könntest du eine Batch erstellen, der dir die Software incl. Updates per Mail zuschickt. Dann händisch überprüfen, und ggf. remote handeln.
Sicherlich keine schöne Lösung!
Daher sehe ich VPN o.ä. als ideale Lösung für euch. Kann man ja auch einfach einrichten.

greetz
ravers
Bitte warten ..
Mitglied: sebbo02
12.02.2013 um 13:46 Uhr
Ins Firmennetz gehen die nur wenn Sie auch hier sind.
VPN wird nicht genutzt.

Wie genau funktioniert dieses WSUS Offline? Kann ich damit auch steuern wer was bekommt und funktioniert das übers LAN oder is das auf jeden Client installiert?
Kann man Updates da vorher prüfen? Und wie sieht denn der Registry Eintrag aus? Beides eintragen geht ja nicht?

Ja wir testen die meisten vorher.
Es soll automatisch laufen da manche User keine großen PC Kenntnisse haben und nicht immmer die VPN Sitzung starten und beenden können oder wollen.

Daher ja die verzweifelte Frage ob ich dem WSUS eine öffentliche IP geben könnte und nach außen erreichbar machen kann?
Würde man das so dicht bekommen das nur ausgewählte Clients drauf zugreifen können? Hab gelesen das ich sonst mit einem öffentlichen WSUS tausende PC drin hätte.
Bitte warten ..
Mitglied: Ravers
12.02.2013 um 14:58 Uhr
Hi nochmal,

also mit dem WSUS-Offline - der läd erstmal alle Patches von den gewünschten Systemen herunter.
Da Ihr ja einige/alle testet, könnt ihr diese manuel ggf. aus dem wsusofflineordner löschen.
Es funktioniert über lan - du startest Die ClientUpdate.exe-Datei und der Rechner wird geupdatet mit den Paketen, die Ihm zur Verfügung stehen und nicht installiert sind.
Steuern und Co. ist da nicht (viel).

Sicherlich könntest du deinem WSUS eine öffentliche IP zuwweisen, ob sich da dann tausende PC`s dranhängen möchte ich bezweifeln. Aber es könnte sein ... Ich jedoch würde meine Updates weiterhin von MS ziehen, da weiß ich, was ich bekomme (wenn auch nicht viel Gutes, aber ein unbekannter WSUS - was da alles drauf sein könnte - ich will`s nicht haben)
Also brauchst du eine Art von Authentifizierung an deiner öffentl. IP. Und ob der User nun ein Passwort in einem VPN-Client eingibt oder am FTP oder sonstwo sollte ziemlich egal sein. Aber auch hier kann man den Usern etwas "basteln" das Sie äußerst wenig damit zu tun haben.

Ausgewählte Clients - woran willst du das festmachen? An der IP, sicherlich nicht, auch wenn`s am einfachsten wäre.

Ihr habt Zeit die Updates vorher alle zu prüfen - respekt (und neid) - sonst nix zu tun?? )
OK - mein Vorgehen ist sicherlich auch nicht das Beste (erstmal ca. eine Woche nach dem Patchday den WSUS updaten) - aber alle Anwendungen die wir haben vorher durchzutesten, jeden Monat - dann würde ich nix anderes mehr machen können.

Auch ich habe hier User die wenig bis garnix im IT-Bereich können. Aber das kann man denen recht einfach alles "Batchen" und den Benutzern in Ruhe zeigen/schulen.
Weiterhin eine Arbeitsanweisung, das Sie dies und jenes (z.B. nach bebilderten Handbuch) zu machen haben.

greetz
ravers
Bitte warten ..
Mitglied: DerWoWusste
12.02.2013 um 16:29 Uhr
Hi.

Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern (per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die WSUS-Einstellungen gesetzt werden. Ganz einfach.
Bitte warten ..
Mitglied: Ravers
13.02.2013 um 09:59 Uhr
Zitat von DerWoWusste:
Hi.

Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern
(per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die
WSUS-Einstellungen gesetzt werden. Ganz einfach.

Wobei die Überwachung/Kontrolle auch wieder weg wäre und auch alle Updates eingespielt werden. Und somit nix bringt
Einfach war früher


greetz
ravers
Bitte warten ..
Mitglied: sebbo02
14.02.2013 um 11:07 Uhr
Okay dann ist das mit dem WSUS Offline auch nich so das Richtige.

Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.

Habe jetzt die GPO Einstellung "Empfohlene Updates über Automatische Updates aktivieren" gefunden.
Dabei soll er ja wichtige updates über Windows Update laden. Bei wichtigen wäre es ja nicht so tragisch die reichen wir ja auch durch getestet wird ja nur der Rest.
Wäre das eine Möglichkeit? Die Client laden wichtige über das Online Update und den Rest über den WSUS wenn sie im Firmennetz sind.

Hat das schon jemand probiert? Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Bitte warten ..
Mitglied: DerWoWusste
14.02.2013, aktualisiert um 11:39 Uhr
Dabei soll er ja wichtige updates über Windows Update laden
Das verstehst Du gründlich miss. Windows Update ist nicht per se das online Update. Das Mischen von Quellen (Quelle1: eigener WSUS, Quelle2: Microsoft-Internet-WSUS) ist nicht möglich.
Ich halte mein Skript für eine vernünftige Lösung, auch wenn sie den von raver angesprochenen Nachteil hat.

Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.
Genau dann, wenn er wieder am Firmennetz ist, kriegst Du das Skript drauf. Jede Anpassung wäre doch erst dann möglich - verstehe den Einwand nicht.

Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Klar, der WSUS sieht, welche Updates installiert sind, egal, ob aus dem Internet oder WSUS.
Bitte warten ..
Mitglied: sebbo02
14.02.2013 um 11:48 Uhr
Okay viele Dank jetzt hab ich es verstanden denke ich
Dachte man kann das mischen.

Hat denn vllt jemand so ein ähnliches Skript oder nen vorschlag?

Wäre die Möglichkeit den WSUS mit ner öfftentlichen IP auszustatten auch nicht realisierbar? Denn dann könnte man ja auch von überall drauf zugreifen?
Bitte warten ..
Mitglied: DerWoWusste
14.02.2013 um 12:37 Uhr
Öffentliche IP für WSUS - klar, wenn Dir das den Spaß wert ist und Ihr noch öffentliche IPs zur Verfügung habt, warum nicht.
Was verstehst Du nicht an der Skizze des Skriptes, die ich geliefert habe?
Du brauchst: IPs, die Regeinstellungen für beide Fälle (lokal, Internet) und die Pingprüfung - wo hapert es?
Bitte warten ..
Mitglied: sebbo02
14.02.2013 um 13:17 Uhr
Wenn das Skript jedes mal beim hochfahren gestartet wird würden ja nur die einstellungen geändert werden in der registy, zeitplan wann nach updates gesucht wird usw wären ja nicht betroffen oder?
Also könnte ich normal per GPO steuern wann der C sucht und installiert?

Bin noch in Ausbildung bin im Skrpiten nich fit deshalb wollte ich nur mal ein Bsp sehen falls es geht. Sorry
Bitte warten ..
Mitglied: DerWoWusste
14.02.2013 um 13:27 Uhr
In der Registry stehen alle Infos: wo suchen, wann installieren, usw.
Exportier also HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate für jede Konfig einmal.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 08:39 Uhr
Okay vielen Dank
Aber eine Frage noch: Wie starte ich den diest per skript neu?
Bitte warten ..
Mitglied: Ravers
15.02.2013 um 09:11 Uhr
Moin moin,

try this:

net start "windows update"
net stop "windows update"

greetz
ravers

P.S.: Würde sowas zum "Grundwissen" zählen
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 09:38 Uhr
Nein sorry falsch ausgedrückt.
Ich meinte dieses wuauclt.exe.
Da gibt es ja mehrer parameter /resetauthorization /detectnow /reportnow /ShowWU

Das müsste doch auch vom Skript gestartet werden oder?

Wäre sonst eine andere Möglichkeit auch die, die Notebokks vom Online Update zu betanken aber als Report oder Status Server den WSUS einzutragen? So dass ich wenn die Notebooks im Firmennetz sind eine Auswertung auf dem WSUS bekomme?

Sorry für die vielen Fragen
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 10:18 Uhr
Nö, muss nicht gestartet werden, da ein Neustart des Dienstes meines Wissens immer einen Detect nach sich zieht.
Sonst: wuauclt /detectnow

Zum letzten Absatz: kannst Du machen, aber warum nicht in der Firma alles auf WSUS umschalten, Updates sowie Reporting?
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 10:25 Uhr
Okay das ist super.

Ja also alle Rechner die hier sind und nicht unterwegs sind bekommen weiterhin Updates über den WSUS.
Die Notebooks die unterwegs sind bekommen dann Online Updates und sollen nur den Bericht an den WSUS senden wenn die mal hier im Netz sind. Das wäre meine überlegung.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 13:00 Uhr
Habs gerade mal probiert. Klappt aber nicht, weil wenn der Client die Updates Online zieht, sich nich am WSUS registiert.
Hab ihm zwar den WUStatusServer eingetragen aber er schickt keinen Bericht
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 13:09 Uhr
Bericht=Report. Stell das Reporting auf den WSUS, starte den Dinest neu und nach einer Installation bitte ein wuauclt /reportnow zur Sicherheit absetzen und danach auf dem WSUS checken, wann der letzt e Report war, sprich: ob dieser jetzige angekommen ist.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 13:13 Uhr
Okay Danke. Aber den reg eintrag finde ich irgendwie nich. Hab nur WUServer und WUStatusServer
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 13:22 Uhr
So. Folgendes: Warum darüber überhaupt einen Kopf machen?
Stell alles auf WSUS, wenn in der Firma, stell es auf Internet, wenn WSUS nicht erreichbar. Wenn nach internetupdate wieder in der Firma, dann macht er doch ein Reporting und falls Patches warum auch immer fehlen sollten, dann bekommt er sie doch dann.
Sieh kein Problem wo keines ist.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 13:38 Uhr
Dazu müsste ich die Skriptlösung nehmen und dazu bräuchten die User ja dann Admin Rechte um in die Registry zu schreiben und den Dienst zu starten.
Dann hab ich mal überlegt wenn die Notebooks in der Firma über Wlan ins Netz gehen darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft da sonst der Wsus auch nicht angepingt werden kann und alle Online ziehen würden.

Deshalb wäre es gut wenn das mit dem Report irgendwie gehen würde dann könnten die Notebooks über das Online Update ziehen aber den Report an den WSUS schicken
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 13:44 Uhr
Meine Lösungen sind in der Regel zu Ende gedacht
Von Anfang an sprach ich von einem Startskript, keinem Anmeldeskript. Unterschied: Startskript läuft nicht mit Userrechten, sondern mit Systemrechten und kann überallhin schreiben und alles tun, was es will.

Zu
darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft
Dann muss das Skript eben gegen einen geplanten Task getauscht werden, der mit Systemrechten läuft und netzwerkstartabhängig getriggert wird, das geht!
Task anheften an Ereignis... ach was red ich, ich exportier mal so einen Task, warte eine Minute.
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 14:14 Uhr
01.
<?xml version="1.0" encoding="UTF-16"?> 
02.
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> 
03.
  <RegistrationInfo> 
04.
    <Date>2013-02-11T16:51:04.2550004</Date> 
05.
    <Author>Domainname\Meinname</Author> 
06.
  </RegistrationInfo> 
07.
  <Triggers> 
08.
    <EventTrigger> 
09.
      <Enabled>true</Enabled> 
10.
      <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-NetworkProfile/Operational"&gt;&lt;Select Path="Microsoft-Windows-NetworkProfile/Operational"&gt;*[System[Provider[@Name='Microsoft-Windows-NetworkProfile'] and EventID=10000]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription> 
11.
    </EventTrigger> 
12.
  </Triggers> 
13.
  <Principals> 
14.
    <Principal id="Author"> 
15.
      <UserId>SYSTEM</UserId> 
16.
      <RunLevel>HighestAvailable</RunLevel> 
17.
    </Principal> 
18.
  </Principals> 
19.
  <Settings> 
20.
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> 
21.
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> 
22.
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> 
23.
    <AllowHardTerminate>true</AllowHardTerminate> 
24.
    <StartWhenAvailable>false</StartWhenAvailable> 
25.
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> 
26.
    <IdleSettings> 
27.
      <StopOnIdleEnd>true</StopOnIdleEnd> 
28.
      <RestartOnIdle>false</RestartOnIdle> 
29.
    </IdleSettings> 
30.
    <AllowStartOnDemand>true</AllowStartOnDemand> 
31.
    <Enabled>true</Enabled> 
32.
    <Hidden>false</Hidden> 
33.
    <RunOnlyIfIdle>false</RunOnlyIfIdle> 
34.
    <WakeToRun>false</WakeToRun> 
35.
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit> 
36.
    <Priority>7</Priority> 
37.
  </Settings> 
38.
  <Actions Context="Author"> 
39.
    <Exec> 
40.
      <Command>DeineBatch</Command> 
41.
    </Exec> 
42.
  </Actions> 
43.
</Task>
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zugriff auf IIS und Apache Tomcat Anwendung übers Internet

Frage von horstvogelWindows Server3 Kommentare

Hallo, nach welchen Begriffen muss ich suchen, wenn ich folgende Konstellation erreichen möchte. Mobile Endgeräte Windows 10 Pro und ...

Linux Tools

Linux übers Internet starten

gelöst Frage von winlinLinux Tools10 Kommentare

ist es möglich ein LinuxOS über eine Website zu starten? Sprich kann ich in einem Browser ne Adresse eingeben ...

Windows Update

WSUS für externe Clients freischalten

Frage von JrSysEnWindows Update3 Kommentare

Wir haben einen WSUS für die Clients im internen Firmennetz. Da in der Firma aber auch viele Geräte auswärts ...

Backup

Datensicherung übers Internet auf ein zentrales NAS

gelöst Frage von arohwedderBackup9 Kommentare

Hallo, ich brauche irgendwie mal einen Tipp von Euch. Ein Kunde von mir möchte, dass seine 30 -40 Aussendienstler ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...

Exchange Server
NDR umleiten
Frage von isomasterExchange Server10 Kommentare

Hallo Kollege, ich habe ein Problem mit dem Exchange Server. Wir haben unsere info@ Adresse als Verteilergruppe eingebunden (so ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...