flinnigen1
Goto Top

WSUS Infrastrukturaufbau - Verteilung von Updates im Intranet, bei geringer Uploadbandbreite

Hallo zusammen,

wir haben aktuell an unseren Standorten für die Updateverteilung das folgende im Einsatz :

1x WSUS Upstreamserver (bezieht die Updates von MS)
4x WSUS Downstream / Replica-Server (beziehen die Updates von MS ; Konfig etc.pp von WSUS)


Nicht berücksichtigt sind die kleinen Standorte, die über eine side2side Verbindung am Intranet angebunden sind, respektive externe Mitarbeiter die über einen VPN Client auf das Intranet zugreifen.
Hier ist die Vorgabe, dass diese die Updates nicht vom WSUS Server bekommen dürfen, da die Upload-Bandbreite an allen Standorten zu gering ist.
Dies erreichen wir aktuell durch die Sperrung des IP-Adress Range auf dem IIS. Dennoch ist es erwünscht, dass diese über den WSUS Update Services administriert werden.

Gibt es hier eine bekannte Vorgehensweise (best practice) ?


Ein weiteres Problem was sich stellt, die Clients am Standort X beziehen aktuell die Updates vom falschen WSUS Server, hier von dem der am Standort Y steht. Es handelt sich dabei um unterschiedliche Subnetze. Wie kann man dies verhindern ?

Content-Key: 338965

Url: https://administrator.de/contentid/338965

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: em-pie
Lösung em-pie 26.05.2017 um 09:06:01 Uhr
Goto Top
Moin,

Zitat von @Flinnigen1:

Hallo zusammen,

[...]
Ein weiteres Problem was sich stellt, die Clients am Standort X beziehen aktuell die Updates vom falschen WSUS Server, hier von dem der am Standort Y steht. Es handelt sich dabei um unterschiedliche Subnetze. Wie kann man dies verhindern ?

Hierzu sollte es doch genügen, wenn du den CLients via GPO den richtigen WSUS mitgibst!?
Wenn jeder Standort eine eigene OU im AD inne hat, hefte einfach für jeden Standort die Standortbezogene WSUS-GPO an diese OU und fertig. Somit melden sich die CLients a) am richtigen WSUS und b) holen diese sich die Updates auch von dort...

Zum Rest könnte dir z.B. dieser Link hier helfen:
https://community.spiceworks.com/topic/315780-download-from-microsoft-bu ...

Gemäß diesem Link (habe selbst nicht solch ein Konstrukt) du baust die einfach einen 5. Replica, der jedoch keinen eigenen COntentstore hat. alle CLients mit einer lahmen Verbindung lässt du (via GPO) hier auflaufen. Dann reporten die Clients gegen diesen WSUS und holen sich die Updates dann wohl von MS...

Gruß
em-pie
Mitglied: Flinnigen1
Flinnigen1 26.05.2017 aktualisiert um 13:13:42 Uhr
Goto Top
Erst einmal vielen lieben Dank. Das mit der Standortbezogene GPO´s, hat wunderbar geklappt. (Hätte ich auch eigentlich selbst drauf kommen müssen).

Darüber hinaus hatte ich vergessen zu erwähnen, dass dieser WSUS auf WSUS Hierarchie (siehe Link) Lösungsweg bei uns bereits bekannt ist, aber bisher noch keinen Anklang gefunden hat. Gibt es hier nicht noch eine elegantere Lösung ?

Im IIS beispielsweise gibt es ja noch die Möglichkeit auch die Content Startseite zu sperren. Hier erhoffe ich mir den gewünschten Effekt.

Gruß
Flinnigen
Mitglied: em-pie
em-pie 26.05.2017 aktualisiert um 13:45:46 Uhr
Goto Top
Erst einmal vielen lieben Dank. Das mit der Standortbezogene GPO´s, hat wunderbar geklappt. (Hätte ich auch eigentlich selbst drauf kommen müssen).
So ist das mit dem Wald und den Bäumen manchmal face-smile

Darüber hinaus hatte ich vergessen zu erwähnen, dass dieser WSUS auf WSUS Hierarchie (siehe Link) Lösungsweg bei uns bereits bekannt ist, aber bisher noch keinen Anklang gefunden hat. Gibt es hier nicht noch eine elegantere Lösung ?

Im IIS beispielsweise gibt es ja noch die Möglichkeit auch die Content Startseite zu sperren. Hier erhoffe ich mir den gewünschten Effekt.

Tjo, dann müsste es aber einen Mechanismus geben ála "wenn du den heimischen WSUS nicht zum Download erreichen kannst, nimm doch denn MS-Server" Das wird vermutlich nicht gelingen, da er ja mit dem WSUS zum Reporting interageirt, folglich also eine erfolgreiche Verbindung ja aufbauen kann...
Warum findet dieses Konstrukt bei euch den keinen Anklang?
Scheitert es daran, dass ihr dennoch den WSUS verwenden wollt, wenn der User am STandort selbst ist? hier könnte man ggf. mit LoopBack-GPOs arbeiten: "Wenn IP aus dem Netz 10.1.1.0/24, dann ziehe die GPO. Wenn eine IP ála 192.168.178.0/24, dann den 5. REPLICA-WSUS". Schlimmstenfalls via Script lokal auf dem Client in der Registry die WSUS-Zugehörigkeit "umbiegen"...

Edit:
Setze mal in deinem Ausgangspost den "gelöst"-Status zurück. Dann ist die Wahrscheinlichkeit auf mehr Feedback hier höher...
Mitglied: Dani
Dani 26.05.2017 um 15:17:06 Uhr
Goto Top
Moin,
Scheitert es daran, dass ihr dennoch den WSUS verwenden wollt, wenn der User am STandort selbst ist? hier könnte man ggf. mit LoopBack-GPOs arbeiten: "Wenn IP aus dem Netz 10.1.1.0/24, dann ziehe die GPO. Wenn eine IP ála 192.168.178.0/24, dann den 5. REPLICA-WSUS". Schlimmstenfalls via Script lokal auf dem Client in der Registry die WSUS-Zugehörigkeit "umbiegen"...
Setzt du für DC bzw. DNS Dienste Windows Server 2016? Dort gibt es inzwischen eine Art GeoDNS - Funktionalität. Sprich es wird eine URL wsus.domain.de definiert und je nach Standort wird eine andere IP-Adresse zurückgegeben. So könntest du auch einen WSUS auf einem gemieteten Server im Internet bereitstellen so das dort die externen Mitarbeiters ihre Updates erhalten. Denn direkter Download bei Microsoft hat die Kruks, dass evtl. Updates installiert werden, welche noch nicht freigegeben bzw. abgelehnt wurden.

Tjo, dann müsste es aber einen Mechanismus geben ála "wenn du den heimischen WSUS nicht zum Download erreichen kannst, nimm doch denn MS-Server"
Gibt's nicht eine Richtlinie, wo die Reihenfolge festgelegt werden kann oder wechsele ich das mit Forefront?! Alternativ


Gruß,
Dani
Mitglied: Flinnigen1
Flinnigen1 26.05.2017 um 18:26:18 Uhr
Goto Top
Zitat von @em-pie:

Warum findet dieses Konstrukt bei euch den keinen Anklang?
Scheitert es daran, dass ihr dennoch den WSUS verwenden wollt, wenn der User am STandort selbst ist? hier könnte man ggf. mit LoopBack-GPOs arbeiten: "Wenn IP aus dem Netz 10.1.1.0/24, dann ziehe die GPO. Wenn eine IP ála 192.168.178.0/24, dann den 5. REPLICA-WSUS". Schlimmstenfalls via Script lokal auf dem Client in der Registry die WSUS-Zugehörigkeit "umbiegen"...


Nicht elegant (einfach) genug. (Dies waren aber nicht meine Worte) Habe ja selbst diesen Vorschlag gemacht.
Aber es ist tatsächlich so, dass die Laptops der externen Mitarbeiter, sobald sie am Standort sind, wieder über den WSUS Vorort versorgt werden sollen. Das sollte aber kein Problem sein, da die Laptops am Standort selbst einem anderen Subnet zugeordnet werden, als über den Cyberoam Client.
Mitglied: DerWoWusste
DerWoWusste 28.05.2017 um 12:37:49 Uhr
Goto Top
Hi.

Nicht zu vergessen, falls Win10 eingesetzt wird, dass es noch die "Botnet-Funktionalität" gibt, die Updates untereinander verteilt: ein Rechner zieht vom WSUS und gibt dieses Update dann intern automatisch weiter. https://www.heise.de/newsticker/meldung/Windows-10-verteilt-Updates-via- ...