none
WSUS GPO Konfiguration mit mehreren Standorten RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Wir haben 7 Standorte an denen Windowsarbeitsplätze vorhanden sind.
    Diese Standorte sind unterteilt in ein Haupthaus und 6 Nebenhäuser. Die Standorte sind mithilfe einer Richtfunkstrecke verbunden.

    Wir haben im Betrieb nur eine Domäne.
    Jeder Server ist mit Windows Server 2003 R2 Standard bespielt und auch so weit konfiguriert.

    In jedem Standort steht jeweils ein WSUS-Server. Der WSUS-Server im Haupthaus agiert als Masterserver und die sechs weiteren WSUS-Server sind als Replikationsserver konfiguriert.

    Der Masterserver bezieht bereits die gewünschten Updates von Microsoft und die anderen Server synchronisieren sich mit dem Masterserver. So weit so gut.

    Jetzt besteht die Frage wie kann ich eine Aufteilung der einzelnen Arbeitsplätze so gestallten, dass die PC's an Standort 1 sich auch nur mit Standort 1 verbinden bzw dort ihre Updates beziehen. Das selbe gilt natürlich auch für die anderen Standorte.

    Besteht die möglichkeit das Automatisiert über die Subnetze laufen zu lassen?
    Wenn z.B. ein neuer Arbeitsplatz ans Netzwerk von Standort 2 gesteckt wird, dass der neue Arbeitsplatz dann automatisiert dem WSUS-Server von Standort 2 zugeordnet wird und auch von dort die Updates bezieht.

    Hauptgrund für diese Frage ist, da wir 1000 Arbeitsplätze haben die nicht zugeordnet sind und es eine heiden Arbeit wäre die richtigen Rechner der Richtigen Organisationseinheit zuzuordnen.

    Es ist noch anzumerken, dass darauf geachtet werden muss, dass die Rechner NICHT alle gleichzeitig die updates ziehen, da das Netzwerk mit hoher wahrscheinlichkeit zusammen brechen würde.

    Ich hoffe ich konnte das Problem gut und verständlich erklären.

    Dienstag, 16. April 2013 14:03
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    Indem Du für jeden WSUS eine eigene GPO machst, und diese GPOs

    verknüpfst Du nicht mit der Domänenstruktur (mit OUs), sondern mit Sites.

    Verknüpfen auf Site-Ebene kann man machen, allerdings musst du dann meistens noch eine eigene Richtlinie
    pro Site für deine(n) Server anlegen und diese entsprechend filtern.
    In der Regel möchte man am Server nicht die gleichen Windows-Update Einstellungen wie am Client.

    Was (meiner Meinung nach) fast noch eleganter ist,
    du erstellst nur eine Richtlinie für deine Clients.
    Dort verwendest du als WSUS-Server einen Alias.
    Jetzt nutzt du die Funktion "netmask ordering" des DNS Servers.

    Beispiel, der Alias lautet wsus.domain.intern.
    Subnet 1 = 172.16.50.0
    Subnet 2 = 172.16.60.0

    Jetzt legst du im DNS zwei Einträge für den Alias "wsus.domain.intern" an:
    wsus.domain.intern = 172.16.50.100 (sagen wir das ist die IP des WSUS vor Ort)
    wsus.domain.intern = 172.16.60.100 (das gleiche für den anderen Standortserver)

    Jetzt löst dein Client (wenn der DNS entsprechend konfiguriert wurde) anhand des Subnetzes des
    Client den Alias auf.
    So brauchst du nur eine Policy und einen Namen ;-)

    PS: Funktioniert auch für verschiedene Proxyserver wunderbar :-)

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 16. April 2013 17:18
    |
    Beantworter

Alle Antworten