Archiv verlassen und diese Seite im Standarddesign anzeigen : Windows Update Server benötigt im lokalen LAN
alpha-centauri
2006-04-19, 14:02:06
Hi. Ich hab nun folgendes Mittelgrosses Projekt bekommen:
Windows-Updates sollen etwas rationalisierter werden. Ca 150 PCs im Netzwerk. Nicht meckern. Ich schüttel selbst manchmal den Kopf.
Wir haben also 150 PCs, die alle ihre WIndows-Updates über eine Leitung ziehen.
Weiteres Problem: Die PCs haben nur Hauptnutzer-Rechte. Sie dürfen die Updates nicht automatisch installieren. Administratorrechte gibts auch nicht.
Grund: Wir haben ein Novell Netzwerk. Da gibts sowas feines wie Policies nicht ohne aufpreis (geil, hm? Aber nicht drüber nachdenken).
Ziel soll sein, dass beim Turnschuhsupport und wenn man die PCs frei sind und wir Admins dort die Updates machen, nun nicht über 2mbit die Updates flutschen, sondern über das Hausnetzwerk.
Ich habs mir nicht ausgsucht. Ich hät den Novell Schrott vor 5 Jahren schon aufgegeben.
Ich dachte an Server 2003, WSUS, registry änder, damit winupdate nun auf dem Server nachguckt.
Habt ihr Ideen? Soll möglichst schnell und einfach zu realisieren sein. SInd ja keine grossen Wünsche geäussert.
Soll halt beim Turnschuhsupport der Download schneller laufen.
Idee wär von meiner Seite noch nen Proxy ins LAN einbauen, oder den der Firewall nutez. Aber.. Oh gott oh gott.. Ich, als fast-mit-der-ausbildung-fertig-und-eh-nicht-übernommener-Azubi mach mir da keine Gedanken drüber.
Xanthomryr
2006-04-19, 14:10:47
Wo ist denn das Problem?
Du setzt einen WSUS auf und fertig.
Infos dazu findest du reichlich auf der WSUS Seite.
alpha-centauri
2006-04-19, 14:28:11
Wo ist denn das Problem?
Du setzt einen WSUS auf und fertig.
Infos dazu findest du reichlich auf der WSUS Seite.
selbst schon mal sowas aufgesetzt?
jorge42
2006-04-19, 14:43:17
WSUS ist ziemlich harmlos zu installieren am besten mal die Doku dazu lesen.
komplizierter ist OHNE AD das einstellen auf den Clients (am besten per Lokaler Richtlinie). Deshalb ist ein AD auch besser, man muss kein einziges mal an die rechner. Windows XP bringt alles mit, es werden keine Adminrechte zum installieren der Updates benötigt, da das ganze als Dienst läuft. Man kann aber dem User die wahl lassen (in Abstufungen) was/wann und ob er etwass installieren will. Wir machen alles zentral ohne Userabfrage. Die einzige wahl die der User hat ist wann er den rechner nach einem Update neu starten möchte. Die regelmäßige Frage nach einem Neustart haben wir freundlicherweise von 10 auf 60 Minuten erweitert.
ABER:
Das Komplizierteste an der ganzen Geschichte ist die Verwaltung der ganzen updates. Eigentlich muss VOR der installation eines Updates dieses Update vorher auf einem testsystem installiert und getestet werden. Macht das jemand bei euch? Hat derjenige Zeit das wirklich zu machen?
Wir haben es so geregelt, das Sicherheitupdates und "Wichtige Updates" (von MS so eingeschätzt) nur bei rechnern sofort automatisch installiert werden, die auch ins internet gehen (Firmenfirewall ist da ein anderes Thema). Das risiko nehme ich in kauf. Du darfst aber nicht vergessen, das ein falsches Update auf 150 rechnern dir die Firma flachlegen kann.
Alle anderen Updates werden erst nach ner gewissen Zeit eingespielt und dann auch nur wenn es wirklich notwendig ist. Ich komme aber kaum hinterher alle Updates zu checken und zu prüfen, das ganze läuft dann eher aus dem bauch heraus. (was scheisse ist).
alpha-centauri
2006-04-19, 15:41:25
na toll. wir haben weder xp (bis auf ca 10 PCs von 150), noch ne ADS laufen.
Muss man sich mal vor augen halten.. Ne firma mit 51 Millionen Euro Umsatz und Turnschuhsupport.
Die Updates könnten wir in unsrer Abteilung testen lassen. Wir sind 5 Leute.
Über was geht das ganze überhaupt? TCP/IP?
Netbios+Broadcast?
oder muss ich auf den Clients WIndowsfreigaben udn MS Client installieren/aktivieren?
Ich hoff mal, ich kann IP-Adressen beschränken, welche updaten dürfen udn welche nicht?
jorge42
2006-04-19, 16:25:40
na toll. wir haben weder xp (bis auf ca 10 PCs von 150), noch ne ADS laufen.
Muss man sich mal vor augen halten.. Ne firma mit 51 Millionen Euro Umsatz und Turnschuhsupport.
Die Updates könnten wir in unsrer Abteilung testen lassen. Wir sind 5 Leute.
Über was geht das ganze überhaupt? TCP/IP?
Netbios+Broadcast?
oder muss ich auf den Clients WIndowsfreigaben udn MS Client installieren/aktivieren?
Ich hoff mal, ich kann IP-Adressen beschränken, welche updaten dürfen udn welche nicht?
du wir hatten hier bis vor kurzen noch NT4.0 am laufen. 2000 haben wir übersprungen. ich glaube für 2000 kann man den client nachinstallieren (bin mir aber echt nicht sicher, google ist dein freund). ADS ist auch nicht notwendig, lokale Richtlinien reichen aus, das kann man bei eingeschaltetem 2000er rechner auch remote erledigen. aber bei NT/98/95/me sieht das ganze echt düster aus. (not supported, funzt imo gar nicht erst).
das ganze läuft primär über http (client server kommunikation) das eigentliche Updaten mMn nach auch (Doku lesen). Broadcastst werden deshalb nicht verwendet, der Server muss explizit am client angegeben werden. Deshalb auch kein Problem WSUS über Subnetz-Grenzen hinweg zu verwenden.
Freigaben auf Server/Client sind nicht notwendig, weitere Konfig an den Clients entfällt komplett. (bis auf lokale richtlinie einmalig).
Habe mich mit den (technischen) Details nicht abmühen müssen, weil das ganze recht schnell aufgesetzt ist und ohne große Probleme läuft (laufen kann, fehler kanns immer geben).
die Auswahl welcher client was bekommt läuft über Gruppen. Keine Domänen-Gruppen sondern WSUS interne Gruppen. Jeder Client meldet sich beim Server und wird erstmal als "nicht-zugeordnet" eingeordnet. danach kann der Admin den Rechner in die gruppe verschieben, die die verteilung regelt, also sowas wie Server, Workstation, Internet-PCs, VIP usw.
Die Gruppenzugehörigkeit lässt sich auch über die policies regeln, aber mangels ADS würde ich bei euch davon abraten. Das würde wieder individuelle konfig pro client bedeuten -> Turnschuhadmin.
IP-Konfigs werden nicht vorgenommen, der Name ist ausschlaggebend.
drdope
2006-04-19, 16:46:21
nen WSUS aufsetzen ist mit dem HowTos / Anleitungen nicht sonderlich schwer (hab ich auch im ersten Anlauf hingekriegt ;-)
Zu den Policies wurd oben ja schon was gesagt --> ohne AD mußt du mit lokalen Policies Arbeiten --> Turnschuhe oder Fernadmin ist angesagt.
Falls die Clients via Images aufgesetzt/geklonnt wurden, mußt du noch ein paar Reg-Keys löschen, da sich die Clients darüber gegenüber dem Server identifizieren.
Bei mir hat immer ein Client den anderen aus dem Update-Rechnerpool gekickt, weil die Keys identisch waren.
--> da gibts afaik auch Tools für (habs damals Quick & Dirty per Hand/VNC gemacht, das es nur ~15 Rechner waren.
@alpha-centauri
Die von dir beschriebene Frikkerscheiße hat man eigentlich nahezu überall --> das ist die Krux mit dem gewachsenen Strukturen; Anfangs fehlt das Geld es vernünftig zu machen, später die Zeit (Migration im laufenden Geschäft).
Die Entscheider übers Budget - die meist von der Materie keine Ahnung - sehen nur, das es ja ja irgendwie geht --> Warum was ändern....
jorge42
2006-04-19, 16:55:07
@alpha-centauri
Die von dir beschriebene Frikkerscheiße hat man eigentlich nahezu überall --> das ist die Krux mit dem gewachsenen Strukturen; Anfangs fehlt das Geld es vernünftig zu machen, später die Zeit (Migration im laufenden Geschäft).
Die Entscheider übers Budget - die meist von der Materie keine Ahnung - sehen nur, das es ja ja irgendwie geht --> Warum was ändern....
was man neben den von dir beschrieben faktoren nicht vergessen darf: wenn man heute was neues macht ist es sogar vielleicht auf dem stand der dinge und absolut modern. aber leider ist die entwicklung in diesem sektor rasend schnell und alles ist in 3 jahren völlig veraltet.
vor 4 jahren hätte auch keiner geglaubt, dass alle hier mit digitalcameras rumlaufen, bluetooth verwenden wollen und sich die zahl der clients mehr als verdoppelt hat. ich habe hier mit ca. 250 clients angefangen (vor 5 jahren) und mittlerweile sind wir bei ca. 750 (also eigentlich verdreifacht).
leider bekommt man weder die zeit noch das geld um mit diesen entwicklungen mitzuhalten und muss dann die verlorenen jahre in ein paar monaten aufholen.
The Cell
2006-04-19, 18:29:13
Hi. Ich hab nun folgendes Mittelgrosses Projekt bekommen:
Windows-Updates sollen etwas rationalisierter werden. Ca 150 PCs im Netzwerk. Nicht meckern. Ich schüttel selbst manchmal den Kopf.
Wir haben also 150 PCs, die alle ihre WIndows-Updates über eine Leitung ziehen.
Weiteres Problem: Die PCs haben nur Hauptnutzer-Rechte. Sie dürfen die Updates nicht automatisch installieren. Administratorrechte gibts auch nicht.
Grund: Wir haben ein Novell Netzwerk. Da gibts sowas feines wie Policies nicht ohne aufpreis (geil, hm? Aber nicht drüber nachdenken).
Ziel soll sein, dass beim Turnschuhsupport und wenn man die PCs frei sind und wir Admins dort die Updates machen, nun nicht über 2mbit die Updates flutschen, sondern über das Hausnetzwerk.
Ich habs mir nicht ausgsucht. Ich hät den Novell Schrott vor 5 Jahren schon aufgegeben.
Ich dachte an Server 2003, WSUS, registry änder, damit winupdate nun auf dem Server nachguckt.
Habt ihr Ideen? Soll möglichst schnell und einfach zu realisieren sein. SInd ja keine grossen Wünsche geäussert.
Soll halt beim Turnschuhsupport der Download schneller laufen.
Idee wär von meiner Seite noch nen Proxy ins LAN einbauen, oder den der Firewall nutez. Aber.. Oh gott oh gott.. Ich, als fast-mit-der-ausbildung-fertig-und-eh-nicht-übernommener-Azubi mach mir da keine Gedanken drüber.
Ich habe das Gejammer mal überlesen, deswegen gleich die Frage:
Benutzt ihr ZEN Works? Darüber SOLLTE man in diesem Falle auch das Patchmanagement machen.
Gruß,
QFT
alpha-centauri
2006-04-19, 19:42:01
Ich habe das Gejammer mal überlesen, deswegen gleich die Frage:
Benutzt ihr ZEN Works? Darüber SOLLTE man in diesem Falle auch das Patchmanagement machen.
Gruß,
QFT
BOAH! LASS STECKEN! Die lizenzen sind seit 2 oder 3 Jahren gekauft! Mein VOrgesetztet hat vor nem Jahr sogar ne einwöchige schulung gemacht. Da kann man heulen. Aber egal. Noch 3 Monate und dann kann sich ein anderer Azubi damit rumquälen.
Allein der Murks den wir mit IP adressen hatten.. VOr 10 Jahren kam mal einer auf die Idee, man müsste ein LAN nach 192.0.1.x aufbauen.
Dieser Held verlies die Firma, und mein Vorgesetzter übernahm das ganze.
Und, jetzt jahre Später. Was haben wir? Einmal diesen 192.0.1.x Kram, 10.x. Private Netzte und das übliche 192.168.x gedöhns.
Mag ja alles kein Problem sein, wie manche denken. Aber wenn Mail server noch schön nach AUSSEN hin 192.0.1.x raussenden, und viele unseren Email Server wegen falschen DNS/RDNS einträgen sperren, kann man heulen.
Da wird wegen 5 EUro für ne optische Maus gejammert. Aber mit Novell Groupwise rumgealbert, was verglichen mit Outlook ein krampf ist...
Naja. Machen wir weiter. Ich guck mir die Tage das ganze an.
Ich wart immer noch auf nen Link, die Server 2003 Trial runterzuladen, damit ich anfangen kann.
Ich halt euch aufm laufenden.
Willsten noch n Beispiel?
Ich:"Wie wärs mit nem Internen FTP-Server, falls Kunden Daten schicken? Dann müssen wir nich jedesmal über unsere einstellige Mbit Leitung von dem FTP Hoster laden?"
FIrma "FTP? Viel zu unsicher"
Da kannste dne Kopf schütteln.
Backup. NOchn Thema. Als wir was wiederherstellen wollten, merkten wir, dass der Server vielleicht nur 50% aller Daten sichert... Na Danke.
Wenn ich DAHEIM so arbeiten würd, könnt ich mich erschiessen.
Xanthomryr
2006-04-19, 22:29:00
selbst schon mal sowas aufgesetzt?
Yep, des SUS wie auch den WSUS.
littlejam
2006-04-20, 09:37:28
Ich würd den WSUS nehmen, kostet zwar ne Windows2003 Serverlizenz (SUS geht mit einigen Klimmzügen auch auf XP), ist aber viel(!) komfortabler.
Das dann zu konfigurieren ist nicht so der Hit.
Bei den Clients nimmst du dir am besten eine Maschine und richtest das da über gpedit.msc* ein und nimmst dann den Registryschlüssel** auf die anderen Rechner.
* Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update
Wenn "Windows Update" nicht da ist, musst du dir aus dem Internet noch die wuau.adm ziehen und per RMT auf "Administrative Templates" -> Add/Remove Templates einfügen.
** HKLM/Software/Policies/Microsoft/Windows/WindowsUpdate/AU
Gruß
alpha-centauri
2006-04-20, 10:01:29
Danke!
Gibt mir schon mal viele Infos. jetzt muss ich nur noch an die trial von server 2003 kommen. da hat mir MS immer noch keinen download link geschickt.
Juerg
2006-04-20, 14:00:30
Danke!
Gibt mir schon mal viele Infos. jetzt muss ich nur noch an die trial von server 2003 kommen. da hat mir MS immer noch keinen download link geschickt.Gibts gratis. Den Server dazu allerdings nicht (und die Hardware auch nicht ;))
http://www.microsoft.com/wsus
oder:
http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUS.mspx
Sh... falsch gelesen :rolleyes:
http://www.microsoft.com/windowsserver2003/evaluation
oder:
http://www.microsoft.com/windowsserver2003/evaluation/trial/default.mspx
http://www.microsoft.com/windowsserver2003/evaluation/trial/viewtrialoptions.mspx
alpha-centauri
2006-04-20, 14:08:55
ich hab mich da schon 3x registriet. ich bekomme keinen download link per email.
Markchen
2006-04-20, 16:09:50
Wir haben das Problem, dass sich kein einziger WSUS bei den Kunden über Proxy aktualisiert :S
jorge42
2006-04-20, 19:33:43
blöde frage, aber den proxy habt ihr auch in den syncronisierungsoptionen und nicht in den internetoptionen des WSUS Servers eingetragen?
evtl. mal prüfen ob der wsus überhaupt das recht hat über den proxy zu gehen, oder sind die proxys ohne authetifizierung?
alpha-centauri
2006-04-25, 11:14:21
so
server 2003
ad
DNS
wsus ist drauf
neu gestartet
und dann das
http://666kb.com/i/11e6gkumiawox.gif
fängt ja gut an :(
alpha-centauri
2006-04-25, 11:24:09
http://msmvps.com/blogs/athif/archive/2005/08/29/64534.aspx
perfekt. problem gelöst
hät mit novell 3 tage gedauert, bis ich in selbst arbeit ne lösung gefunden hätt, die mit MS produkten schon vor wochen und monaten gefunden wäre.
jorge42
2006-04-25, 11:27:56
gib mal dem system schreibrechte auf temp und wenn der schon drin ist dann dem "Netzwerkdienst" oder "Netzwerkservice" die schreibrechte.
P.S. wichtig ändern nicht wie auf dem shot nur lesen.
Wir haben das Problem, dass sich kein einziger WSUS bei den Kunden über Proxy aktualisiert :Smanche proxys haben probleme mit der "hintergrundübertragung" des wsus
hab allerdings grade verlegt wo/wie man das umstellen kann
alpha-centauri
2006-04-25, 16:04:11
so ganz klappt das nciht.
ich hbas zuerst mit dem registry eintrag versuch, den man aus wsus.de kopierne konnte. da tat sich nix.
dann hab ich es mit ner domäne probiert und zuerst mal lokal die windowsupdate policy geändert.
an der domäne hab ich meinen test rechner mit dem administrator-konto des windows-servers angemdelt.
im moment steh ich aufm schlauch, weil ich nicht merk, oder seh, was funktioniert und was nicht und der dämliche updat dienst auf dem client nicht mal eben so sag "geht oder geht nicht"
der wsus auf dem server zeigt mir auch keine computer an. ziemlicih doof. ich guck mal weiter.
jorge42
2006-04-25, 16:44:48
sorry wenns jetzt oberlehrerhaft wird, aber versuch bitte etwas ordentlicher zu schreiben. groß/klein schreibung verwende ich ja selbst nicht, aber deine buchstabendreher sind anstrengend.
also noch mal von vorne: was funktioniert jetzt genau oder auch nicht?
wsus ist ziemlich gemächlich, unter umständen kann das auch ein paar stunden dauern, bis es sich einpendelt. wenn deine CLIENT updatezeit z.B. auf 12:00 eingestellt ist, dann kannst du heute lange warten. erst morgen würde sich was tun.
als erstes musst du schauen, ob sich der client beim server meldet. dann erst wird er im wsus unter computer sichtbar. erscheint dort kein rechner, dann klappt die kommunikation nicht und updates werden nicht verteilt.
hast du den server schon mit der MS datenbank gesync'ed, hat er denn schon updates, die er verteilen kann?
littlejam
2006-04-25, 17:19:25
Gemächlich ist gut :rolleyes:
Vielleicht hilft es, den Clientrechner neuzustarten und dann mal auf der Kommandozeile "wuauclt /detectnow" einzugeben.
Danach evtl. nochmal neustarten. Das Prinzip, wann da was im WSUS auftaucht hab ich noch nicht so ganz geschnallt :redface:
Ob der richtige Updateserver drinne steht, kannst du unter windows\windowsupdate.log nachsehen.
Gruß
jorge42
2006-04-25, 19:22:09
Gemächlich ist gut :rolleyes:
Vielleicht hilft es, den Clientrechner neuzustarten und dann mal auf der Kommandozeile "wuauclt /detectnow" einzugeben.
Danach evtl. nochmal neustarten. Das Prinzip, wann da was im WSUS auftaucht hab ich noch nicht so ganz geschnallt :redface:
Ob der richtige Updateserver drinne steht, kannst du unter windows\windowsupdate.log nachsehen.
Gruß
es gab mal von der c't ein skript welches die anmeldung am SUS (damals noch, sollte aber mit WSUS auch funzen) beschleunigte. die dienste wurden gestartet und noch so ein paar dinger. habe es mir aber mitterweile angewöhnt das ganze ruhig angehen zu lassen. ich installier den rechner und lass ihn dann über nacht stehen. am nächsten morgen ist er dann im wsus zu sehen. danach ordne ich ihn in die wsus-gruppe ein.
leider sind noch nicht alle workstations im AD (ich konsolidiere noch :biggrin:) deshalb kann ich die zuordnung nicht per policy machen. der wsus kann ja nur clientseitige zuordnung oder serverseitige zuordnung, aber keinen mischbetrieb. wenn man ersteres hat, braucht man sich eigentlich gar nicht mehr drum zu kümmern, irgendwann kriegt der client seine updates.
alpha-centauri
2006-04-28, 12:58:33
Problem: Wie find ich heraus, dass de Client die Update wirklich vom WSUS holt und nicht vom microsoft-update Gedöhns?
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\
littlejam
2006-04-28, 13:23:18
Der Rechner muss im WSUS Frontend stehen und im Log (windows\windowsupdate.log) sollte der Update Server auf den lokalen zeigen.
Gruß
alpha-centauri
2006-04-28, 14:00:05
ok. sieht gut aus soweit.
alpha-centauri[/POST]']Problem: Wie find ich heraus, dass de Client die Update wirklich vom WSUS holt und nicht vom microsoft-update Gedöhns?wenn er aufm server eingetragen ist...
btw. dass der client sich zwanghaft am wsus meldet musst du nur den wsus client mitteilen...
einfach im ausführen dialog wuauclt.exe /reauthorization durchführen...mit der option /updatenow hohlt er sich ~innerhalb von ner halben stunde auf jedenfall die updates wenn alles funzt
littlejam
2006-04-30, 13:10:58
Gast[/POST]']wenn er aufm server eingetragen ist...
btw. dass der client sich zwanghaft am wsus meldet musst du nur den wsus client mitteilen...
einfach im ausführen dialog wuauclt.exe /reauthorization durchführen...mit der option /updatenow hohlt er sich ~innerhalb von ner halben stunde auf jedenfall die updates wenn alles funzt
Wo kann man diese Optionen nachlesen?
Ich hab nur mal ne Seite gefunden mit irgendwelchen Debugginoptionen aber alles nicht richtig dokumentiert :(
/detectnow ist das einzige was ich kenne.
Gruß
darph
2006-04-30, 13:17:32
Split der Offtopic Diskussion
Dennoch sollte sich jeder gehalten sehen, lesbare Beiträge zu verfassen. Weitere Diskussionen darüber im Split, bitte, danke.
alpha-centauri
2006-05-05, 10:21:40
Ich hab noch ne Frage:
Auf einem der Testclients hab ich die Änderungen nur per Registry-Datei durchgeführt. DIeser Client meldet sich NICHT an der Domäne an.
Jetzt bin ich am überlegen: Wie bekomme icih es hin, dass ich die Änderungen rückgänging mach und der Client wieder mit microsoft updated und nicht mit dem WSUS Server?
alpha-centauri[/POST]']Jetzt bin ich am überlegen: Wie bekomme icih es hin, dass ich die Änderungen rückgänging mach und der Client wieder mit microsoft updated und nicht mit dem WSUS Server?den schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
löschen...fertig
alpha-centauri
2006-05-05, 11:29:04
danke.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.