none
Guten Tag Sehr geehrte Mitglieder/innen des Forums RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    ich komme auf euch zurück da meine Suche nach einer Antwort mitlerweile ausbleibt.

    Folgendes Szenario:
    Wir haben einen Hauptstandort mit 400 Mitarbeitern und Weltweit verteilt mehrere Geschäftsstellen die um die 15-20 Leute haben. Wir haben User im Kundeneinsatz bzw. im Homeoffice die sich über VPN einwählen aber auch User die das VPN selten sehen und auch sonst selten bei uns im Netz sind.

    Jetzt könnte man ein Patching Szenario so aufbauen:

    Ich nutze einen WSUS Server um im Intranet die Updates auszurollen und einen WSUS Server in der (DMZ) der von aussen zugänglich ist um Clients die sich nicht im Intranet Befinden patchen zu können.
    Den IntraWSUS habe ich so konfiguriert das er Patches bei sich speichert. Den exterWSUS (read only) pointet auf Microsoft direct damit unsere Internet anbindung nicht belastet werden kann.

    Die Geschäftsstellen hab ich relativ schnell über die GPO's eingestellt. Für feienere Anpassungen könnte ich sogar spezielle Policys auf die Site's direkt anwenden was in unserem Fall aber egal war. (IM DC unter GPO im Baum unten Sites anzeigen und darauf GPO's anwenden)

    Jetzt komme ich zu folgenden Problem:

    Clients die in der Weltgeschichte rumlaufen.

    Ich will von diesem System das wenn mein Client im VPN ist (kann ich über eine separate Site bauen und auf die eine spezielle GPO anwenden) der direkt auf den Internen WSUS geht und sich die Updates über unser Intra Netz zieht.

    Ist mein Client auf einer GS ist es ja das Gleiche da die Site und die IP range mir die möglicheit gibt direkt auf den Internen WSUS Server zu pointen.

    WAS ABER, wenn ich einen Client mit reiner Internet anbindung an meine WSUS struktur anbinden will. Er hat ja keine statische Policy die ich ihm geben kann um auf den externen WSUS zu routen (ich wüsste zumindest nicht wie da ein Client immer die ihm zuletzt zugewiesenen GPO's speichert selbst wenn der dann ausserhalb vom Netz was auch immer macht). Und die funktion das er auf den IntraWSUS gehen soll wenn er im VPN Netz oder auf einer GS ist will ich ja auch haben.

    Ich habe darauf hin folgende mögliche Lösungen versucht zu erarbeiten:

    Die Clienst bekommen ein Fallback System - d.h. jeder Client bekommt einen primary WSUS und einen secondary WSUS.
    Ist der primary (Intranet) nicht erreichbar dann nutzt er einfach den secondary (DMZ ist aus dem Internet zu sehen) dann wäre alles schön hübsch.
    Gibt es anscheinend aber so nicht.

    Dann dachte ich ok baust du dir halt eine Policy die immer aktiv ist auf den Clients und auf den secondary WSUS Server zeigt.
    Ich dachte das ich wenn ich im VPN bin das dann mit einer weiteren Policy überschreiben könnte... geht aber auch nicht. Könnte ja dann jedesmal wenn er im Intranet ist die Policy überdecken und auf den Internen WSUS server pointen. Leaved der Client das Intranet ist die alte Policy wieder aktiv und er geht auf den WSUS in der DMZ.

    Ihr seht ich beschäftige mich jetzt schon ein weilchen damit.
    Ich beantworte auch gerne Fragen zu den folgenden Dingen die ich bisjetzt gebastelt hab.
    Ich muss allerdings ALLE Clients an unseren WSUS anbinden da ich falls Clients Updates bekämen die wir nicht freigegeben haben und zu Problemen führen wir relativ hohe Vertragsstrafen oder ähnliches erwarten müssten.

    Ich hoffe es kann mir jemand bei diesem umständlich ausführlich umschriebenen Problem helfen.
    Mittwoch, 6. Juli 2016 07:57
    |

Antworten

Alle Antworten