Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS übers Internet für externen Zugriff bereitstellen

Frage Internet Webbrowser

Mitglied: sebbo02

sebbo02 (Level 1) - Jetzt verbinden

12.02.2013 um 10:49 Uhr, 2059 Aufrufe, 25 Kommentare

Hallo bin gerade dabei eine Lösung zu finden um auch Mitarbeiter die für 2-3 Monate nicht in der Firma sind mit Updates zu versorgen.

Wäre es möglich den WSUS dafür Online zu stellen um von überall darauf zu zugreifen?

VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.

Wäre für jede Hilfe oder jeden Vorschlag dankbar
Mitglied: Ravers
12.02.2013 um 11:44 Uhr
Moin moin,

mal ehrlich = warum?
Würde das "normale" Update einstellen, so hast du auch weniger Verkehr an deiner Leitung.
Nur der Überwachung wegen? - Würde es so einstellen, das die Updates sich aut. Downloaden und installieren.
Geht der Rechner weder ins Inet noch in dein Netzwerk, so ist das Update auch nicht von nöten.

greetz
ravers
Bitte warten ..
Mitglied: sebbo02
12.02.2013 um 11:51 Uhr
Unsere Mitarbeiter sind mal 1 Monat hier dann aber auch mal nen halbes Jahr weg. In diesem halben Jahr würden Sie keine Updates bekommen.
Die Rechner gehen regelmäßig ins Internet und auch in mein Netz.
Über das Online Update haben wir keine Möglichkeit zu schauen ob die Updates gelaufen sind oder nicht, denn die Mitarbeiter starten das Update nicht selbstständig, zumindest einige. Es soll alles kontrolliert uns selbstständig laufen und nur geprüfte Updates installiert werden da wir sonst keinen Support leisten können wenn sie in der Welt unterwegs sind.
Bitte warten ..
Mitglied: Ravers
12.02.2013 um 13:31 Uhr
Hi,

wie gehen die MA den in dein Netz?
Hoffe über eine gesicherte Verbindung (z.B. VPN) - und schwubbs, ist dein Problem weg.

Hier mache ich etwas anders. Lasse alle Updates übers Internet laufen, kommen Sie hier mal rein bekommen Sie über WSUS-Offline die Updates, wenn Updates nicht gemacht wurden bzw. fehlerhaft eingespielt wurden.
Heißt das, das Ihr alle Updates vorher auf Herz und Nieren prüft?

Zitat:
VPN und Script Lösung fallen leider aus da alles automatisch passieren soll und überwacht werden soll.

Wer sagt das? Der IT-Leiter bzw. GF oder die User selbst? Vielleicht haben die dann eine Lösung
Weiterhin könntest du eine Batch erstellen, der dir die Software incl. Updates per Mail zuschickt. Dann händisch überprüfen, und ggf. remote handeln.
Sicherlich keine schöne Lösung!
Daher sehe ich VPN o.ä. als ideale Lösung für euch. Kann man ja auch einfach einrichten.

greetz
ravers
Bitte warten ..
Mitglied: sebbo02
12.02.2013 um 13:46 Uhr
Ins Firmennetz gehen die nur wenn Sie auch hier sind.
VPN wird nicht genutzt.

Wie genau funktioniert dieses WSUS Offline? Kann ich damit auch steuern wer was bekommt und funktioniert das übers LAN oder is das auf jeden Client installiert?
Kann man Updates da vorher prüfen? Und wie sieht denn der Registry Eintrag aus? Beides eintragen geht ja nicht?

Ja wir testen die meisten vorher.
Es soll automatisch laufen da manche User keine großen PC Kenntnisse haben und nicht immmer die VPN Sitzung starten und beenden können oder wollen.

Daher ja die verzweifelte Frage ob ich dem WSUS eine öffentliche IP geben könnte und nach außen erreichbar machen kann?
Würde man das so dicht bekommen das nur ausgewählte Clients drauf zugreifen können? Hab gelesen das ich sonst mit einem öffentlichen WSUS tausende PC drin hätte.
Bitte warten ..
Mitglied: Ravers
12.02.2013 um 14:58 Uhr
Hi nochmal,

also mit dem WSUS-Offline - der läd erstmal alle Patches von den gewünschten Systemen herunter.
Da Ihr ja einige/alle testet, könnt ihr diese manuel ggf. aus dem wsusofflineordner löschen.
Es funktioniert über lan - du startest Die ClientUpdate.exe-Datei und der Rechner wird geupdatet mit den Paketen, die Ihm zur Verfügung stehen und nicht installiert sind.
Steuern und Co. ist da nicht (viel).

Sicherlich könntest du deinem WSUS eine öffentliche IP zuwweisen, ob sich da dann tausende PC`s dranhängen möchte ich bezweifeln. Aber es könnte sein ... Ich jedoch würde meine Updates weiterhin von MS ziehen, da weiß ich, was ich bekomme (wenn auch nicht viel Gutes, aber ein unbekannter WSUS - was da alles drauf sein könnte - ich will`s nicht haben)
Also brauchst du eine Art von Authentifizierung an deiner öffentl. IP. Und ob der User nun ein Passwort in einem VPN-Client eingibt oder am FTP oder sonstwo sollte ziemlich egal sein. Aber auch hier kann man den Usern etwas "basteln" das Sie äußerst wenig damit zu tun haben.

Ausgewählte Clients - woran willst du das festmachen? An der IP, sicherlich nicht, auch wenn`s am einfachsten wäre.

Ihr habt Zeit die Updates vorher alle zu prüfen - respekt (und neid) - sonst nix zu tun?? )
OK - mein Vorgehen ist sicherlich auch nicht das Beste (erstmal ca. eine Woche nach dem Patchday den WSUS updaten) - aber alle Anwendungen die wir haben vorher durchzutesten, jeden Monat - dann würde ich nix anderes mehr machen können.

Auch ich habe hier User die wenig bis garnix im IT-Bereich können. Aber das kann man denen recht einfach alles "Batchen" und den Benutzern in Ruhe zeigen/schulen.
Weiterhin eine Arbeitsanweisung, das Sie dies und jenes (z.B. nach bebilderten Handbuch) zu machen haben.

greetz
ravers
Bitte warten ..
Mitglied: DerWoWusste
12.02.2013 um 16:29 Uhr
Hi.

Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern (per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die WSUS-Einstellungen gesetzt werden. Ganz einfach.
Bitte warten ..
Mitglied: Ravers
13.02.2013 um 09:59 Uhr
Zitat von DerWoWusste:
Hi.

Schreib ein Startskript, welches den lokalen WSUS pingt. Bei Nichterreichen soll das Skript die WSUS-Einstellungen ändern
(per reg-import und Dienstneustart) und angewiesen werden, aus dem Internet zu ziehen. Bei Erreichen wiederum, müssen die
WSUS-Einstellungen gesetzt werden. Ganz einfach.

Wobei die Überwachung/Kontrolle auch wieder weg wäre und auch alle Updates eingespielt werden. Und somit nix bringt
Einfach war früher


greetz
ravers
Bitte warten ..
Mitglied: sebbo02
14.02.2013 um 11:07 Uhr
Okay dann ist das mit dem WSUS Offline auch nich so das Richtige.

Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.

Habe jetzt die GPO Einstellung "Empfohlene Updates über Automatische Updates aktivieren" gefunden.
Dabei soll er ja wichtige updates über Windows Update laden. Bei wichtigen wäre es ja nicht so tragisch die reichen wir ja auch durch getestet wird ja nur der Rest.
Wäre das eine Möglichkeit? Die Client laden wichtige über das Online Update und den Rest über den WSUS wenn sie im Firmennetz sind.

Hat das schon jemand probiert? Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Bitte warten ..
Mitglied: DerWoWusste
14.02.2013, aktualisiert um 11:39 Uhr
Dabei soll er ja wichtige updates über Windows Update laden
Das verstehst Du gründlich miss. Windows Update ist nicht per se das online Update. Das Mischen von Quellen (Quelle1: eigener WSUS, Quelle2: Microsoft-Internet-WSUS) ist nicht möglich.
Ich halte mein Skript für eine vernünftige Lösung, auch wenn sie den von raver angesprochenen Nachteil hat.

Das script kriege ich ja nicht auf alle Notebooks oder bei manchen erst in einem halben Jahr.
Genau dann, wenn er wieder am Firmennetz ist, kriegst Du das Skript drauf. Jede Anpassung wäre doch erst dann möglich - verstehe den Einwand nicht.

Bekomme ich da vom Client ein Report was unterwegs gezogen wurde wenn die sich wieder am Wsus melden?
Klar, der WSUS sieht, welche Updates installiert sind, egal, ob aus dem Internet oder WSUS.
Bitte warten ..
Mitglied: sebbo02
14.02.2013 um 11:48 Uhr
Okay viele Dank jetzt hab ich es verstanden denke ich
Dachte man kann das mischen.

Hat denn vllt jemand so ein ähnliches Skript oder nen vorschlag?

Wäre die Möglichkeit den WSUS mit ner öfftentlichen IP auszustatten auch nicht realisierbar? Denn dann könnte man ja auch von überall drauf zugreifen?
Bitte warten ..
Mitglied: DerWoWusste
14.02.2013 um 12:37 Uhr
Öffentliche IP für WSUS - klar, wenn Dir das den Spaß wert ist und Ihr noch öffentliche IPs zur Verfügung habt, warum nicht.
Was verstehst Du nicht an der Skizze des Skriptes, die ich geliefert habe?
Du brauchst: IPs, die Regeinstellungen für beide Fälle (lokal, Internet) und die Pingprüfung - wo hapert es?
Bitte warten ..
Mitglied: sebbo02
14.02.2013 um 13:17 Uhr
Wenn das Skript jedes mal beim hochfahren gestartet wird würden ja nur die einstellungen geändert werden in der registy, zeitplan wann nach updates gesucht wird usw wären ja nicht betroffen oder?
Also könnte ich normal per GPO steuern wann der C sucht und installiert?

Bin noch in Ausbildung bin im Skrpiten nich fit deshalb wollte ich nur mal ein Bsp sehen falls es geht. Sorry
Bitte warten ..
Mitglied: DerWoWusste
14.02.2013 um 13:27 Uhr
In der Registry stehen alle Infos: wo suchen, wann installieren, usw.
Exportier also HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate für jede Konfig einmal.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 08:39 Uhr
Okay vielen Dank
Aber eine Frage noch: Wie starte ich den diest per skript neu?
Bitte warten ..
Mitglied: Ravers
15.02.2013 um 09:11 Uhr
Moin moin,

try this:

net start "windows update"
net stop "windows update"

greetz
ravers

P.S.: Würde sowas zum "Grundwissen" zählen
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 09:38 Uhr
Nein sorry falsch ausgedrückt.
Ich meinte dieses wuauclt.exe.
Da gibt es ja mehrer parameter /resetauthorization /detectnow /reportnow /ShowWU

Das müsste doch auch vom Skript gestartet werden oder?

Wäre sonst eine andere Möglichkeit auch die, die Notebokks vom Online Update zu betanken aber als Report oder Status Server den WSUS einzutragen? So dass ich wenn die Notebooks im Firmennetz sind eine Auswertung auf dem WSUS bekomme?

Sorry für die vielen Fragen
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 10:18 Uhr
Nö, muss nicht gestartet werden, da ein Neustart des Dienstes meines Wissens immer einen Detect nach sich zieht.
Sonst: wuauclt /detectnow

Zum letzten Absatz: kannst Du machen, aber warum nicht in der Firma alles auf WSUS umschalten, Updates sowie Reporting?
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 10:25 Uhr
Okay das ist super.

Ja also alle Rechner die hier sind und nicht unterwegs sind bekommen weiterhin Updates über den WSUS.
Die Notebooks die unterwegs sind bekommen dann Online Updates und sollen nur den Bericht an den WSUS senden wenn die mal hier im Netz sind. Das wäre meine überlegung.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 13:00 Uhr
Habs gerade mal probiert. Klappt aber nicht, weil wenn der Client die Updates Online zieht, sich nich am WSUS registiert.
Hab ihm zwar den WUStatusServer eingetragen aber er schickt keinen Bericht
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 13:09 Uhr
Bericht=Report. Stell das Reporting auf den WSUS, starte den Dinest neu und nach einer Installation bitte ein wuauclt /reportnow zur Sicherheit absetzen und danach auf dem WSUS checken, wann der letzt e Report war, sprich: ob dieser jetzige angekommen ist.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 13:13 Uhr
Okay Danke. Aber den reg eintrag finde ich irgendwie nich. Hab nur WUServer und WUStatusServer
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 13:22 Uhr
So. Folgendes: Warum darüber überhaupt einen Kopf machen?
Stell alles auf WSUS, wenn in der Firma, stell es auf Internet, wenn WSUS nicht erreichbar. Wenn nach internetupdate wieder in der Firma, dann macht er doch ein Reporting und falls Patches warum auch immer fehlen sollten, dann bekommt er sie doch dann.
Sieh kein Problem wo keines ist.
Bitte warten ..
Mitglied: sebbo02
15.02.2013 um 13:38 Uhr
Dazu müsste ich die Skriptlösung nehmen und dazu bräuchten die User ja dann Admin Rechte um in die Registry zu schreiben und den Dienst zu starten.
Dann hab ich mal überlegt wenn die Notebooks in der Firma über Wlan ins Netz gehen darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft da sonst der Wsus auch nicht angepingt werden kann und alle Online ziehen würden.

Deshalb wäre es gut wenn das mit dem Report irgendwie gehen würde dann könnten die Notebooks über das Online Update ziehen aber den Report an den WSUS schicken
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 13:44 Uhr
Meine Lösungen sind in der Regel zu Ende gedacht
Von Anfang an sprach ich von einem Startskript, keinem Anmeldeskript. Unterschied: Startskript läuft nicht mit Userrechten, sondern mit Systemrechten und kann überallhin schreiben und alles tun, was es will.

Zu
darf der Task erst ausgeführt werden wenn der User angemeldet ist und SecureW2 läuft
Dann muss das Skript eben gegen einen geplanten Task getauscht werden, der mit Systemrechten läuft und netzwerkstartabhängig getriggert wird, das geht!
Task anheften an Ereignis... ach was red ich, ich exportier mal so einen Task, warte eine Minute.
Bitte warten ..
Mitglied: DerWoWusste
15.02.2013 um 14:14 Uhr
01.
<?xml version="1.0" encoding="UTF-16"?> 
02.
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> 
03.
  <RegistrationInfo> 
04.
    <Date>2013-02-11T16:51:04.2550004</Date> 
05.
    <Author>Domainname\Meinname</Author> 
06.
  </RegistrationInfo> 
07.
  <Triggers> 
08.
    <EventTrigger> 
09.
      <Enabled>true</Enabled> 
10.
      <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-NetworkProfile/Operational"&gt;&lt;Select Path="Microsoft-Windows-NetworkProfile/Operational"&gt;*[System[Provider[@Name='Microsoft-Windows-NetworkProfile'] and EventID=10000]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription> 
11.
    </EventTrigger> 
12.
  </Triggers> 
13.
  <Principals> 
14.
    <Principal id="Author"> 
15.
      <UserId>SYSTEM</UserId> 
16.
      <RunLevel>HighestAvailable</RunLevel> 
17.
    </Principal> 
18.
  </Principals> 
19.
  <Settings> 
20.
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> 
21.
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> 
22.
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> 
23.
    <AllowHardTerminate>true</AllowHardTerminate> 
24.
    <StartWhenAvailable>false</StartWhenAvailable> 
25.
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> 
26.
    <IdleSettings> 
27.
      <StopOnIdleEnd>true</StopOnIdleEnd> 
28.
      <RestartOnIdle>false</RestartOnIdle> 
29.
    </IdleSettings> 
30.
    <AllowStartOnDemand>true</AllowStartOnDemand> 
31.
    <Enabled>true</Enabled> 
32.
    <Hidden>false</Hidden> 
33.
    <RunOnlyIfIdle>false</RunOnlyIfIdle> 
34.
    <WakeToRun>false</WakeToRun> 
35.
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit> 
36.
    <Priority>7</Priority> 
37.
  </Settings> 
38.
  <Actions Context="Author"> 
39.
    <Exec> 
40.
      <Command>DeineBatch</Command> 
41.
    </Exec> 
42.
  </Actions> 
43.
</Task>
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Zugriff auf IIS und Apache Tomcat Anwendung übers Internet (3)

Frage von horstvogel zum Thema Windows Server ...

Voice over IP
Cisco WebEx - Audio übers Internet Proxy-fähig ?

Frage von Tuborg85 zum Thema Voice over IP ...

Server
Zugriff auf Raspberry (HTTP, Socket) aus dem Internet (13)

Frage von it4baer zum Thema Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...