none
Windows 10 Updates für Domänenrechner außerhalb der Domäne RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wir haben eine Windows Server 2012R2-Domäne mit einem WSUS, der innerhalb unseres Netzwerkes wunderbar funktioniert.

    Jetzt gibt es aber einige Laptops, die sich wochenlang nicht an der Domäne anmelden und aber trotzdem automatisch Windows Updates herunterladen und installieren sollen.

    Leider haben wir bislang keinen Weg gefunden, das hinzubekommen. Stand ist, dass der Rechner sich innerhalb unseres Domänen-Netzwerkes automatisch die Updates holt und installiert. Probieren wir dasselbe via Internet mit einem Domänenrechner, sucht der Rechner nicht nach Updates, erst nach manueller Suche werden die Updates gefunden. An welcher Stelle kann es haken?

    Gruß

    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Donnerstag, 21. Februar 2019 15:11
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 21.02.2019 schrieb Coreknabe:

    wir haben eine Windows Server 2012R2-Domäne mit einem WSUS, der innerhalb unseres Netzwerkes wunderbar funktioniert.

    Jetzt gibt es aber einige Laptops, die sich wochenlang nicht an der Domäne anmelden und aber trotzdem automatisch Windows Updates herunterladen und installieren sollen.

    Ihr könnten einen zweiten WSUS installieren und in die DMZ setzen. Der
    ist dann von außen erreichbar. In den Optionen stellst Du ein, dass
    die Updates zwar auf diesem WSUS genehmigt werden, aber der Download
    direkt bei MSFT erfolgt.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 21. Februar 2019 17:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Winfried,

    danke für die Rückmeldung. Einen anderen Weg gibt es nicht?  Notfalls würde ich auch in den sauren Apfel beißen, unterschiedliche Update-Stände zu haben. Sprich, vorhandene Updates werden bei Microsoft heruntergeladen und fertig.

    Gruß

    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Dienstag, 26. Februar 2019 10:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 26.02.2019 schrieb Coreknabe:

    danke für die Rückmeldung. Einen anderen Weg gibt es nicht?  Notfalls würde ich auch in den sauren Apfel beißen, unterschiedliche Update-Stände zu haben. Sprich, vorhandene Updates werden bei Microsoft heruntergeladen und fertig.

    Wenn die Updates nicht mehr von einem WSUS genehmigt werden, holen
    sich die Clients recht schnell immer das aktuellste Release von W10.
    Wenn dir das egal ist, kannst Du das so machen.

    Um wie viele Clients geht es? Wie wird die VPN-Verbindung in die Firma
    aufgebaut? Kannst Du dort evtl. ein wuauclt /reportnow einbauen?

    Servus
    Winfried

    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Dienstag, 26. Februar 2019 18:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    schau Dir mal Dual Scan an. Das sollte eigentlich genau für so etwas da sein.


    Edit: Der Betreff "außerhalb" der Domäne ist nicht passend. Zumindest verstehe ich Dich so, als das die Rechner schon Domainmember sind, jedoch einige Zeit nicht mit dem Firmennetz verbunden sind. (Vertriebsmitarbeiter etc.)
    Mittwoch, 27. Februar 2019 07:06
    |
  • Question
    Anmelden
    0
    Anmelden


    Wenn die Updates nicht mehr von einem WSUS genehmigt werden, holen
    sich die Clients recht schnell immer das aktuellste Release von W10.
    Wenn dir das egal ist, kannst Du das so machen.


    Ja, das wäre im Zweifel egal.

    Es handelt sich nur im eine Handvoll Clients, die in der Regel nicht über eine VPN-Verbindung angebunden sind.

    Problem ist ja, dass trotz aktiviertem Dual Scan Updates von Microsoft nur manuell geholt werden. Automatisch sucht der Client die leider nicht.

    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Mittwoch, 27. Februar 2019 09:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    auch Dir danke für die Antwort.

    Dual Scan ist aktiviert, trotzdem werden die Updates nur geholt, wenn manuell gesucht wird, nicht automatisch.

    Wegen der Begrifflichkeiten hast Du natürlich Recht, Du hast das richtig verstanden.

    Gruß

    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Mittwoch, 27. Februar 2019 09:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 27.02.2019 schrieb Coreknabe:

    Problem ist ja, dass trotz aktiviertem Dual Scan Updates von Microsoft nur manuell geholt werden. Automatisch sucht der Client die leider nicht.

    Holen und suchen sind zwei Paar Stiefel! Wenn Du die Clients 'draußen'
    alleine lassen möchtest, dann darfst Du nichts via GPO vorgeben. Nur
    so funktioniert das wie Du dir das vorstellst.

    Servus
    Winfried

    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Mittwoch, 27. Februar 2019 15:33
    |
  • Question
    Anmelden
    0
    Anmelden

    OK... Aber ich dachte, gerade dafür gäbe es die Dual Scan-Option?  Das hatten wir nämlich auch festgestellt, dass der externe automatische Download nicht mehr funktioniert, wenn die GPO aktiv ist.

    Deine Variante mit dem zweiten WSUS in der DMZ würde aber trotzdem klappen?

    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Donnerstag, 28. Februar 2019 10:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Holen und suchen sind zwei Paar Stiefel! Wenn Du die Clients 'draußen'

    alleine lassen möchtest, dann darfst Du nichts via GPO vorgeben. Nur
    so funktioniert das wie Du dir das vorstellst.

    Naja, das ist ja so nicht ganz richtig. Dafür gibt es ja extra die Wufb Richtlinien. Das Problem ist eher, das mit jedem Release neue Funktionen dazu kommen oder sogar umgeschrieben werden, dass selbst die Dokumentation nicht hinterherkommt.

    Das mit der DMZ geht immer. Vorteil: Du kannst besser steuern welches Update verteilt wird. Bei Wufb konfigurierst du ja nur den Channel/Release-Ring und überlässt MS den Rest.

    Interessant wird's dann wenn ConfigMgr oder Intune noch mitspielt :)


    Donnerstag, 28. Februar 2019 14:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 28.02.2019 schrieb Patrick.Müller:

    Holen und suchen sind zwei Paar Stiefel! Wenn Du die Clients 'draußen'


    alleine lassen möchtest, dann darfst Du nichts via GPO vorgeben. Nur
    so funktioniert das wie Du dir das vorstellst.

    Naja, das ist ja so nicht ganz richtig. Dafür gibt es ja extra die Wufb Richtlinien. Das Problem ist eher, das mit jedem Release neue Funktionen dazu kommen oder sogar umgeschrieben werden, dass selbst die Dokumentation nicht hinterherkommt.

    Das meiste davon funktioniert in der Version A, in B dann schon nicht
    mehr. Und bei einem Wechsel alle 6 Monate ist die Zeit um sich
    einzuarbeiten, viel zu schade.

    Außerdem hat der TO ja festgestellt, dass es nicht sauber bis gar
    nicht funktioniert.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 28. Februar 2019 16:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 28.02.2019 schrieb Coreknabe:


    Deine Variante mit dem zweiten WSUS in der DMZ würde aber trotzdem klappen?

    Den kannst Du im GPO so behandeln wie einen internen, wobei ich an
    dieser Stelle evtl. gleich auf Port 8531 umstellen würde.
    https://www.wsus.de/ssl_kommunikation

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 28. Februar 2019 16:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Das meiste davon funktioniert in der Version A, in B dann schon nicht

    mehr. Und bei einem Wechsel alle 6 Monate ist die Zeit um sich
    einzuarbeiten, viel zu schade.

    Ja das stimmt leider. Das macht es auch immer schwer aktuell zu bleiben und dann das "beste" zu empfehlen bzw. erstmal zu wissen und getestet zu haben etc.

    Freitag, 1. März 2019 11:15
    |