Benutzer mit den meisten Antworten
WSUS Hauptstandort mit Nebenstellen einrichten

Frage
-
Hallo Technet,
ich habe 1 Hauptstandort und 4 Nebenstellen, welche mit WSUS bedient werden sollen.
Idee ist, auf dem Hauptstandort den zentralen WSUS zu installieren und von dort die Updates zu genehmigen. Auf den Nebenstandorten sollen die Updates vom Hauptstandort übertragen werden und die Clients sollen jeweils von ihrem Standort die Updates beziehen (sodass nicht alle Clients den Hauptstandort ansprechen).
Die Frage ist, wie ich das am besten umsetze. Gibt es eine Anleitung für die Einrichtung der Nebenstellen? Kann ich in der zentralen Hauptstelle sehen, welche Clients angesprochen werden (AD vorhanden) und Gruppen einrichten, wer wie welches Update bekommen soll?
Gruß
excQ
Antworten
-
Am 09.02.2015 schrieb excQ:
Ich habe in der AD 5 Gruppen, mit den jeweiligen Standorten.
Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden Standort?Nein, mußt Du nicht.
Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich jeder bereich bei seinem Downstream meldet? Was muss in den GPO hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort einwählt?
5 GPOs mußt Du anlegen. Du kannst ja ein GPO mit allen Einstellungen
ausser dem Pfad zum WSUS anlegen, fünf GPOs mit den fünf Pfaden
zu den jeweiligen WSUS-Servern erstellen. Wie Mark schon schrub, die
dann auf die Standorte, das eine GPO verlinkst Du auf die OU, in der
die Clients liegen.
Servus
Winfried
Gruppenrichtlinien
HowTos zum WSUS Package Publisher
WSUS Package Publisher
HowTos zum Local Update Publisher
NNTP-Bridge für MS-Foren- Als Antwort vorgeschlagen Teodora MilushevaModerator Mittwoch, 25. Februar 2015 11:41
- Als Antwort markiert Teodora MilushevaModerator Freitag, 27. Februar 2015 09:57
-
> 5 GPOs mußt Du anlegen. Du kannst ja *ein* GPO mit allen Einstellungen> *ausser* dem Pfad zum WSUS anlegen, *fünf* GPOs mit den *fünf* PfadenWarum 5 GPOs? Mach ein GPO, setze alles außer dem WSUS-Pfad mit"Administrative Vorlagen". Den WSUS-Pfad setzt Du mit Group PolicyPreferences "Registrierung", hier machst Du 5 Einträge, jeweils mitZielgruppenadressierung auf den Standort. Den erforderlichen Reg-Wertfindest Du hier: http://gpsearch.azurewebsites.net/#2792Und wenn Deine WSUS-Servernamen eine geeignete Beziehung zum Sitenamenhaben: Zielgruppenadressierung auf den Inhalt vonHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters:DynamicSiteName.Dann reicht sogar ein einziger Reg-Wert (mit einer Variablen für denSitenamen).Das Leben kann so einfach sein :)))
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))- Als Antwort vorgeschlagen Teodora MilushevaModerator Mittwoch, 25. Februar 2015 11:41
- Als Antwort markiert Teodora MilushevaModerator Freitag, 27. Februar 2015 09:57
Alle Antworten
-
Am 08.02.2015 schrieb excQ:
ich habe 1 Hauptstandort und 4 Nebenstellen, welche mit WSUS bedient werden sollen.
Auf welchem OS werden die WSUS-Server installiert?
Idee ist, auf dem Hauptstandort den zentralen WSUS zu installieren und von dort die Updates zu genehmigen. Auf den Nebenstandorten sollen die Updates vom Hauptstandort übertragen werden und die Clients sollen jeweils von ihrem Standort die Updates beziehen (sodass nicht alle Clients den Hauptstandort ansprechen).
OK.
Die Frage ist, wie ich das am besten umsetze. Gibt es eine Anleitung für die Einrichtung der Nebenstellen? Kann ich in der zentralen Hauptstelle sehen, welche Clients angesprochen werden (AD vorhanden) und Gruppen einrichten, wer wie welches Update bekommen soll?
Die Downstream-WSUS-Server, die in den Aussenstandorten, bekommen den
Haupt-WSUS als Updatequelle eingetragen. An der gleichen Stelle gibst
Du an, der Downstream-WSUS ist ein untergeordneter WSUS des ersten.
Schon kann am Downstream-WSUS nichts mehr in den Freigaben oder
sonstiges verändert werden.Wenn die Clients sich beim Downstream-WSUS melden, mußt Du sie
entweder manuell in die richtigen Gruppen zuordnen oder Du lässt es
per GPO zuordnen. Wenn letzteres müssen die Gruppen vorher schon
vollständig bestehen und auch auf die Downstream-WSUS repliziert sein.
Weiteres mußt du das dem WSUS auch mitteilen, in den Optionen >
Computer das richtige anhaken.Genehmigt werden die Updates nur auf dem Master-WSUS, die
Genehmigungen werden dann von den Downstream-WSUS Servern per
Synchronisierung geholt. Deshalb wäre es an der Stelle nicht
schlecht, wenn die sich alle Stunde beim Master melden und
synchronisieren. Für welche Gruppen Du die Updates genehmigst, ist
deine Sache, die Downstream holen alles beim Master ab.
Servus
Winfried
Gruppenrichtlinien
HowTos zum WSUS Package Publisher
WSUS Package Publisher
HowTos zum Local Update Publisher
NNTP-Bridge für MS-Foren -
Bezüglich der GPO.
Ich habe in der AD 5 Gruppen, mit den jeweiligen Standorten.
Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden Standort? Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich jeder bereich bei seinem Downstream meldet? Was muss in den GPO hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort einwählt?
Gruß
excQ
-
Hi,Am 09.02.2015 08:11, schrieb excQ:> Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden> Standort?Nein. Die Gruppen dienen deiner Übersicht, bzw. deiner Möglichkeit zurRegelung, wer welches Update wann erhält.> Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich> jeder bereich bei seinem Downstream meldet?Ja.> Was muss in den GPO> hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort> einwählt?Der Name des WSUS Servers. Die Richtlinien könntest du zB auf Standorteverlinken, wenn es diese im AD gibt, oder per WMI Abfragedie Netzmaskeermitteln.TschöMark--Mark Heitbrink - MVP Windows Server - Group PolicyHomepage: http://www.gruppenrichtlinien.de - deutschGPO Tool: http://www.reg2xml.com - Registry Export File Converter
- Als Antwort vorgeschlagen Teodora MilushevaModerator Mittwoch, 25. Februar 2015 11:41
-
Am 09.02.2015 schrieb excQ:
Ich habe in der AD 5 Gruppen, mit den jeweiligen Standorten.
Muss ich in WSUS nun ebenfalls 5 Computer-Gruppen erstellen für jeden Standort?Nein, mußt Du nicht.
Und als GPO muss ich auch 5 verschiedene anlegen, sodass sich jeder bereich bei seinem Downstream meldet? Was muss in den GPO hinterlegt sein, damit sich der PC entsprechend beim richtigen Standort einwählt?
5 GPOs mußt Du anlegen. Du kannst ja ein GPO mit allen Einstellungen
ausser dem Pfad zum WSUS anlegen, fünf GPOs mit den fünf Pfaden
zu den jeweiligen WSUS-Servern erstellen. Wie Mark schon schrub, die
dann auf die Standorte, das eine GPO verlinkst Du auf die OU, in der
die Clients liegen.
Servus
Winfried
Gruppenrichtlinien
HowTos zum WSUS Package Publisher
WSUS Package Publisher
HowTos zum Local Update Publisher
NNTP-Bridge für MS-Foren- Als Antwort vorgeschlagen Teodora MilushevaModerator Mittwoch, 25. Februar 2015 11:41
- Als Antwort markiert Teodora MilushevaModerator Freitag, 27. Februar 2015 09:57
-
> 5 GPOs mußt Du anlegen. Du kannst ja *ein* GPO mit allen Einstellungen> *ausser* dem Pfad zum WSUS anlegen, *fünf* GPOs mit den *fünf* PfadenWarum 5 GPOs? Mach ein GPO, setze alles außer dem WSUS-Pfad mit"Administrative Vorlagen". Den WSUS-Pfad setzt Du mit Group PolicyPreferences "Registrierung", hier machst Du 5 Einträge, jeweils mitZielgruppenadressierung auf den Standort. Den erforderlichen Reg-Wertfindest Du hier: http://gpsearch.azurewebsites.net/#2792Und wenn Deine WSUS-Servernamen eine geeignete Beziehung zum Sitenamenhaben: Zielgruppenadressierung auf den Inhalt vonHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters:DynamicSiteName.Dann reicht sogar ein einziger Reg-Wert (mit einer Variablen für denSitenamen).Das Leben kann so einfach sein :)))
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))- Als Antwort vorgeschlagen Teodora MilushevaModerator Mittwoch, 25. Februar 2015 11:41
- Als Antwort markiert Teodora MilushevaModerator Freitag, 27. Februar 2015 09:57
-
Am 10.02.2015 schrieb Martin Binder [MVP]:
5 GPOs mußt Du anlegen. Du kannst ja ein GPO mit allen Einstellungen
ausser dem Pfad zum WSUS anlegen, fünf GPOs mit den fünf Pfaden
Warum 5 GPOs? Mach ein GPO, setze alles außer dem WSUS-Pfad mit "Administrative Vorlagen". Den WSUS-Pfad setzt Du mit Group Policy
Preferences "Registrierung", hier machst Du 5 Einträge, jeweils mit
Zielgruppenadressierung auf den Standort. Den erforderlichen Reg-Wert findest Du hier: http://gpsearch.azurewebsites.net/#2792Das geht natürlich auch. ;)
Der Nachteil IMHO an der Sache ist, wenn Du so einen Client
verschiebst, wird die GPP Registrierung nicht gelöscht. Das muß man
dann schon manuell machen.
Und wenn Deine WSUS-Servernamen eine geeignete Beziehung zum Sitenamen haben: Zielgruppenadressierung auf den Inhalt von HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters:DynamicSiteName.
Dann reicht sogar ein einziger Reg-Wert (mit einer Variablen für den Sitenamen).
Das Leben kann so einfach sein :)))Das werd ich doch glatt mal ausprobieren. ;)
Servus
Winfried
Gruppenrichtlinien
HowTos zum WSUS Package Publisher
WSUS Package Publisher
HowTos zum Local Update Publisher
NNTP-Bridge für MS-Foren -
> Der Nachteil IMHO an der Sache ist, wenn Du so einen Client> verschiebst, wird die GPP Registrierung nicht gelöscht. Das muß man> dann schon manuell machen.Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wirdreingeschrieben. Wenn Du's "ganz fein" machen willst, startest Du überGPP Services noch wuauserv durch, damit der das auch mitbekommt (bin miraber nicht sicher, ob das nötig ist).
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :)) -
Am 11.02.2015 schrieb Martin Binder [MVP]:
Der Nachteil IMHO an der Sache ist, wenn Du so einen Client
verschiebst, wird die GPP Registrierung nicht gelöscht. Das muß man
dann schon manuell machen.
Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird reingeschrieben.Wenn Du es per GPP reinschreibst, bleibt es drin bis es gelöscht oder
überschrieben wird, oder nicht?Wenn Du's "ganz fein" machen willst, startest Du über
GPP Services noch wuauserv durch, damit der das auch mitbekommt (bin mir aber nicht sicher, ob das nötig ist).Beim Neustart des Systems wird der Service doch eh neu gestartet. ;)
Servus
Winfried
Gruppenrichtlinien
HowTos zum WSUS Package Publisher
WSUS Package Publisher
HowTos zum Local Update Publisher
NNTP-Bridge für MS-Foren -
> Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird> reingeschrieben.>> Wenn Du es per GPP reinschreibst, bleibt es drin bis es gelöscht oder> überschrieben wird, oder nicht?Genau. Ich mache also erst mal einen Default-Wert, der "immer" gesetztwird. Und dann mache ich für meine 5 Standorte den gleichen Wert mitanderem Inhalt, der dann nur für den jeweiligen Standort gilt. LastWriter wins :)"Action" ist natürlich nicht Create, sonder Replace oder Update.
Martin
Mal ein GUTES Buch über GPOs lesen?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :)) -
Am 12.02.2015 schrieb Martin Binder [MVP]:
Nee, es kann ja immer nur eines der ILTs richtig sein. Und das wird
reingeschrieben.
Wenn Du es per GPP reinschreibst, bleibt es drin bis es gelöscht oder
überschrieben wird, oder nicht?
Genau. Ich mache also erst mal einen Default-Wert, der "immer" gesetzt
wird. Und dann mache ich für meine 5 Standorte den gleichen Wert mit anderem Inhalt, der dann nur für den jeweiligen Standort gilt. Last Writer wins :)
"Action" ist natürlich nicht Create, sonder Replace oder Update.OK, Danke. ;)
Servus
Winfried
Gruppenrichtlinien
HowTos zum WSUS Package Publisher
WSUS Package Publisher
HowTos zum Local Update Publisher
NNTP-Bridge für MS-Foren