none
WSUS Hauptstandort mit Nebenstellen einrichten RRS feed

  • Frage

  • Hallo Technet,

    ich habe 1 Hauptstandort und 4 Nebenstellen, welche mit WSUS bedient werden sollen.

    Idee ist, auf dem Hauptstandort den zentralen WSUS zu installieren und von dort die Updates zu genehmigen. Auf den Nebenstandorten sollen die Updates vom Hauptstandort übertragen werden und die Clients sollen jeweils von ihrem Standort die Updates beziehen (sodass nicht alle Clients den Hauptstandort ansprechen).

    Die Frage ist, wie ich das am besten umsetze. Gibt es eine Anleitung für die Einrichtung der Nebenstellen? Kann ich in der zentralen Hauptstelle sehen, welche Clients angesprochen werden (AD vorhanden) und Gruppen einrichten, wer wie welches Update bekommen soll?

    Gruß

    excQ

    Sonntag, 8. Februar 2015 10:05

Antworten

  • Am 09.02.2015 schrieb excQ:

    Ich habe in der AD 5 Gruppen, mit den jeweiligen Standorten.

    Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden Standort?

    Nein, mußt Du nicht.

    Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich jeder bereich bei seinem Downstream meldet? Was muss in den GPO hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort einwählt?

    5 GPOs mußt Du anlegen. Du kannst ja ein GPO mit allen Einstellungen
    ausser dem Pfad zum WSUS anlegen, fünf GPOs mit den fünf Pfaden
    zu den jeweiligen WSUS-Servern erstellen. Wie Mark schon schrub, die
    dann auf die Standorte, das eine GPO verlinkst Du auf die OU, in der
    die Clients liegen.


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Montag, 9. Februar 2015 17:29
  • > 5 GPOs mußt Du anlegen. Du kannst ja *ein* GPO mit allen Einstellungen
    > *ausser* dem Pfad zum WSUS anlegen, *fünf* GPOs mit den *fünf* Pfaden
     
    Warum 5 GPOs? Mach ein GPO, setze alles außer dem WSUS-Pfad mit
    "Administrative Vorlagen". Den WSUS-Pfad setzt Du mit Group Policy
    Preferences "Registrierung", hier machst Du 5 Einträge, jeweils mit
    Zielgruppenadressierung auf den Standort. Den erforderlichen Reg-Wert
     
    Und wenn Deine WSUS-Servernamen eine geeignete Beziehung zum Sitenamen
    haben: Zielgruppenadressierung auf den Inhalt von
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters:DynamicSiteName.
    Dann reicht sogar ein einziger Reg-Wert (mit einer Variablen für den
    Sitenamen).
     
    Das Leben kann so einfach sein :)))
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 10. Februar 2015 07:47

Alle Antworten

  • Am 08.02.2015 schrieb excQ:

    ich habe 1 Hauptstandort und 4 Nebenstellen, welche mit WSUS bedient werden sollen.

    Auf welchem OS werden die WSUS-Server installiert?

    Idee ist, auf dem Hauptstandort den zentralen WSUS zu installieren und von dort die Updates zu genehmigen. Auf den Nebenstandorten sollen die Updates vom Hauptstandort übertragen werden und die Clients sollen jeweils von ihrem Standort die Updates beziehen (sodass nicht alle Clients den Hauptstandort ansprechen).

    OK.

    Die Frage ist, wie ich das am besten umsetze. Gibt es eine Anleitung für die Einrichtung der Nebenstellen? Kann ich in der zentralen Hauptstelle sehen, welche Clients angesprochen werden (AD vorhanden) und Gruppen einrichten, wer wie welches Update bekommen soll?

    Die Downstream-WSUS-Server, die in den Aussenstandorten, bekommen den
    Haupt-WSUS als Updatequelle eingetragen. An der gleichen Stelle gibst
    Du an, der Downstream-WSUS ist ein untergeordneter WSUS des ersten.
    Schon kann am Downstream-WSUS nichts mehr in den Freigaben oder
    sonstiges verändert werden.

    Wenn die Clients sich beim Downstream-WSUS melden, mußt Du sie
    entweder manuell in die richtigen Gruppen zuordnen oder Du lässt es
    per GPO zuordnen. Wenn letzteres müssen die Gruppen vorher schon
    vollständig bestehen und auch auf die Downstream-WSUS repliziert sein.
    Weiteres mußt du das dem WSUS auch mitteilen, in den Optionen >
    Computer das richtige anhaken.

    Genehmigt werden die Updates nur auf dem Master-WSUS, die
    Genehmigungen werden dann von den Downstream-WSUS Servern per
    Synchronisierung geholt. Deshalb wäre es an der Stelle nicht
    schlecht, wenn die sich alle Stunde beim Master melden und
    synchronisieren. Für welche Gruppen Du die Updates genehmigst, ist
    deine Sache, die Downstream holen alles beim Master ab.


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Sonntag, 8. Februar 2015 10:16
  • Bezüglich der GPO.

    Ich habe in der AD 5 Gruppen, mit den jeweiligen Standorten.

    Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden Standort? Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich jeder bereich bei seinem Downstream meldet? Was muss in den GPO hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort einwählt?

    Gruß

    excQ

    Montag, 9. Februar 2015 07:11
  • Hi,
     
    Am 09.02.2015 08:11, schrieb excQ:
    > Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden
    > Standort?
     
    Nein. Die Gruppen dienen deiner Übersicht, bzw. deiner Möglichkeit zur
    Regelung, wer welches Update wann erhält.
     
    > Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich
    > jeder bereich bei seinem Downstream meldet?
     
    Ja.
     
    > Was muss in den GPO
    > hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort
    > einwählt?
     
    Der Name des WSUS Servers. Die Richtlinien könntest du zB auf Standorte
    verlinken, wenn es diese im AD gibt, oder per WMI Abfragedie Netzmaske
    ermitteln.
     
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Montag, 9. Februar 2015 08:04
  • Am 09.02.2015 schrieb excQ:

    Ich habe in der AD 5 Gruppen, mit den jeweiligen Standorten.

    Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden Standort?

    Nein, mußt Du nicht.

    Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich jeder bereich bei seinem Downstream meldet? Was muss in den GPO hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort einwählt?

    5 GPOs mußt Du anlegen. Du kannst ja ein GPO mit allen Einstellungen
    ausser dem Pfad zum WSUS anlegen, fünf GPOs mit den fünf Pfaden
    zu den jeweiligen WSUS-Servern erstellen. Wie Mark schon schrub, die
    dann auf die Standorte, das eine GPO verlinkst Du auf die OU, in der
    die Clients liegen.


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Montag, 9. Februar 2015 17:29
  • > 5 GPOs mußt Du anlegen. Du kannst ja *ein* GPO mit allen Einstellungen
    > *ausser* dem Pfad zum WSUS anlegen, *fünf* GPOs mit den *fünf* Pfaden
     
    Warum 5 GPOs? Mach ein GPO, setze alles außer dem WSUS-Pfad mit
    "Administrative Vorlagen". Den WSUS-Pfad setzt Du mit Group Policy
    Preferences "Registrierung", hier machst Du 5 Einträge, jeweils mit
    Zielgruppenadressierung auf den Standort. Den erforderlichen Reg-Wert
     
    Und wenn Deine WSUS-Servernamen eine geeignete Beziehung zum Sitenamen
    haben: Zielgruppenadressierung auf den Inhalt von
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters:DynamicSiteName.
    Dann reicht sogar ein einziger Reg-Wert (mit einer Variablen für den
    Sitenamen).
     
    Das Leben kann so einfach sein :)))
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 10. Februar 2015 07:47
  • Am 10.02.2015 schrieb Martin Binder [MVP]:

    5 GPOs mußt Du anlegen. Du kannst ja ein GPO mit allen Einstellungen
    ausser dem Pfad zum WSUS anlegen, fünf GPOs mit den fünf Pfaden

     
    Warum 5 GPOs? Mach ein GPO, setze alles außer dem WSUS-Pfad mit "Administrative Vorlagen". Den WSUS-Pfad setzt Du mit Group Policy
    Preferences "Registrierung", hier machst Du 5 Einträge, jeweils mit
    Zielgruppenadressierung auf den Standort. Den erforderlichen Reg-Wert findest Du hier: http://gpsearch.azurewebsites.net/#2792

    Das geht natürlich auch. ;)
    Der Nachteil IMHO an der Sache ist, wenn Du so einen Client
    verschiebst, wird die GPP Registrierung nicht gelöscht. Das muß man
    dann schon manuell machen.
      

    Und wenn Deine WSUS-Servernamen eine geeignete Beziehung zum Sitenamen haben: Zielgruppenadressierung auf den Inhalt von HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters:DynamicSiteName.
    Dann reicht sogar ein einziger Reg-Wert (mit einer Variablen für den Sitenamen).
     
    Das Leben kann so einfach sein :)))

    Das werd ich doch glatt mal ausprobieren. ;)


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 10. Februar 2015 17:52
  • > Der Nachteil IMHO an der Sache ist, wenn Du so einen Client
    > verschiebst, wird die GPP Registrierung nicht gelöscht. Das muß man
    > dann schon manuell machen.
     
    Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird
    reingeschrieben. Wenn Du's "ganz fein" machen willst, startest Du über
    GPP Services noch wuauserv durch, damit der das auch mitbekommt (bin mir
    aber nicht sicher, ob das nötig ist).
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 11. Februar 2015 12:20
  • Am 11.02.2015 schrieb Martin Binder [MVP]:

    Der Nachteil IMHO an der Sache ist, wenn Du so einen Client
    verschiebst, wird die GPP Registrierung nicht gelöscht. Das muß man
    dann schon manuell machen.

     
    Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird reingeschrieben.

    Wenn Du es per GPP reinschreibst, bleibt es drin bis es gelöscht oder
    überschrieben wird, oder nicht?

    Wenn Du's "ganz fein" machen willst, startest Du über
    GPP Services noch wuauserv durch, damit der das auch mitbekommt (bin mir aber nicht sicher, ob das nötig ist).

    Beim Neustart des Systems wird der Service doch eh neu gestartet. ;)


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Mittwoch, 11. Februar 2015 17:54
  • >     Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird
    >     reingeschrieben.
    >
    > Wenn Du es per GPP reinschreibst, bleibt es drin bis es gelöscht oder
    > überschrieben wird, oder nicht?
     
    Genau. Ich mache also erst mal einen Default-Wert, der "immer" gesetzt
    wird. Und dann mache ich für meine 5 Standorte den gleichen Wert mit
    anderem Inhalt, der dann nur für den jeweiligen Standort gilt. Last
    Writer wins :)
     
    "Action" ist natürlich nicht Create, sonder Replace oder Update.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 12. Februar 2015 13:35
  • Am 12.02.2015 schrieb Martin Binder [MVP]:

         Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird
         reingeschrieben.

    Wenn Du es per GPP reinschreibst, bleibt es drin bis es gelöscht oder
    überschrieben wird, oder nicht?

     
    Genau. Ich mache also erst mal einen Default-Wert, der "immer" gesetzt
    wird. Und dann mache ich für meine 5 Standorte den gleichen Wert mit anderem Inhalt, der dann nur für den jeweiligen Standort gilt. Last Writer wins :)
     
    "Action" ist natürlich nicht Create, sonder Replace oder Update.

    OK, Danke. ;)


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 12. Februar 2015 22:36