Wie geht man's an? Windows Update Server (WUS)

[WRR_Mirco]

Servus...
ich hab da folgende Überlegung, bei der ich mir noch nicht so recht im klaren bin ob das funktioniert.

Wir reparieren bei uns sehr viele PCs mit Windows BS.
Nun hat unsere Firma den Standort verlegt und keine ordentliche DSL Leitung mehr. Wenn die PCs nun alle schön fein Updates per WWW holen... ja.. happy birthday

Nun weiss ich ja von einem Windows Update Server (Dienst!?) der sich quasi mit allen Updates (gerne über Nacht vollsaugt) und diese zur Verfügung hält.

Aber - sofern ich das richtig verstanden habe, ist es doch so, dass dieser über die "Richtlinien" der Domäne als Quelle für die Clients ausgewählt wird.

Gibt es denn ohne großen eingriff eine Möglichkeit einen "Gast PC" der auf "Update" drückt im eigenen Netzwerk abzufangen und auf den WUS zu lenken, so dass dieser nun die Updates liefert.

Als erste Idee hatte ich einfach bei der DNS Auflösung die update.microsoft.com abzufangen und auf die Interne IP des WUS zu lenken...

Eine zweite Idee war, vielleicht ist auch nur ein Registry Eintrag nötig, den man anschliessend wieder "zurück-patched".

Wer hat da Erfahrungen und könnte mir einen Tip geben wie man es am sinnvollsten machen könnte?

Danke!

 

[Armadillo]

Für den WSUS brauchst du KEINE Domäne!

Führ mal gpedit.msc aus. Dort unter "Computerkonfiguration/Administrative Vorlagen/Windows Komponenten/Windows Update/Internen Pfad für den Microsoft Updatedienst angeben" kannst du einen WSUS Server einstellen.

Und nicht vergessen das nach der Reparatur wieder zurück zu stellen.

 

[WRR_Mirco]

Es mag vielleicht Leihenhaft sein, aber "gpedit.msc" gibt esauf allen win-versionen? Also XP Home / Pro, Vista, und 7 ??

 

[ElBarto]

Das wäre vielleicht eine gute Alternative für euch.

WSUS Offline Update (ehemals c't Offline Update)

http://www.heise.de/software/download/wsus_offline_update_ehemals_ct_offline_update/38170

 

[mkeil]

Hi,

folgender Link: http://technet.microsoft.com/en-us/library/cc708449(WS.10).aspx

Ausprobiert habe ich das ganze nicht, aber ich denke Du könntest Dir so ganz einfach ein kleines Skript basteln was das ganze erledigt..

Gruß
Marcel

 

[danton]

Ich würde auch WSUS-Offline empfehlen, das nutze ich auch, um einen neu aufgesetzten Rechner "mal eben" relativ aktuell zu bekommen. Die Projekt-Seite ist übrigens unter http://www.wsusoffline.net zu finden

 

[Armadillo]

Es mag vielleicht Leihenhaft sein, aber "gpedit.msc" gibt esauf allen win-versionen? Also XP Home / Pro, Vista, und 7 ??

Ja, von XP bis 7 auf jeden Fall, weil wir das hier ebenfalls im Netzwerk mit non-Domänen Clients haben.

 

[Whistler]

Hier mal eine Muster-Reg-Datei:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
; Server-Adresse fuer eigentliche Updates und fuer Reports:
"WUServer"="http://[I]wsus-server[/I]"
"WUStatusServer"="http://[I]wsus-server[/I]"
; Auch Nicht-Administratoren duerfen Updates bestaetigen/installieren:
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"RescheduleWaitTime"=dword:0000000a
; AutoUpdate soll aktiv sein (deaktiveren mit 1)
"NoAutoUpdate"=dword:00000000
; Download von Updates automatisch, aber vor Installation nachfragen:
"AUOptions"=dword:00000003
; wenn spaeter userseitig automatische Installation aktiviert wird,
; automatische Installation taeglich jeweils 12 Uhr mittags:
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000c
; aber alle 2h nach Updates suchen und reporten, ist besser fuers Reporting:
"DetectionFrequency"=dword:00000018
"DetectionFrequencyEnabled"=dword:00000001
; bei kleineren Updates nicht nachfragen, einfach installieren:
"AutoInstallMinorUpdates"=dword:00000001
; nochmaliges Nachfragen nach Neustart nach 60min:
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000003c
; nicht MS, sondern lokalen Updateserver verwenden:
"UseWUServer"=dword:00000001
; kein automatischer Neustart, wenn Benutzer angemeldet:
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Der WSUS-Server kann eine lokale Kopie aller Updates (filterbar nach OS, Sprache und Kategorie) vorhalten, so daß sie nicht direkt von MS über die "dünne" DSL-Leitung geholt werden müsse (wobei das, wenn man einen gescheiten Proxy wie z.B. Squid einsetzt, auch so nicht das Problem ist).

Im einfachsten Fall reichst Du alle neuen Updates von MS automatisch weiter, WSUS bietet aber recht fein abgestufte Möglichkeiten, Patches selektiv zu genehmigen. Diese Genehmigungen lassen sich auch replizieren, d.H. Ihr in der Zentrale testet und approved die Patches und die Zweigstelle übernimmd die Genehmigungen.

Ein Verbiegen des DNS geht seit WSUS2 nicht mehr, da die SSL-Zertifikate vom Clienten auf eine MS-Signatur abgetestet werden.

 

[WRR_Mirco]

Okay. Erstmal Danke.
Jetzt mach ich Wochenende und ab Montag versuch ich mal nen bissel was

CT-Updater kenne ich aber den muss man auch manuell aktuell halten ...
Ein zu großer Aufwand für unsere Jungs in der Produktion.

 

[danton]

Also ich halte es für genauso aufwendig, die Registry zu verbiegen, um die Updates vom WSUS-Server zu erhalten. Und außerdem vergißt man bei der Methode mit WSUS-Offline nicht, anschließend die Registry wieder zurück zu drehen. Außerdem meine ich, daß sich WSUS-Offline auch per Taskplaner automatisiert aktualisieren läßt, so daß man das ganze auch prima in die Zeit legen kann, wo die DSL-Leitung sowieso nicht gebraucht wird.

 

[Armadillo]

Und was genau spricht jetzt gegen die Methode mit den Gruppenrichtlinien, außer dass ich dabei nicht in der Registry rumpfuschen muss?

 

[danton]

Die Gruppenrichtlinien machen nichts anderes, als bestimmte Registry-Einträge zu erzwingen.