Maniska Geschrieben 31. Oktober 2014 Geschrieben 31. Oktober 2014 Hallöchen, ich habe aktuell ein kleines Konzeptionierungsproblem was meine WSUS-Umgebung angeht, und zwar: Das Unternehmen besteht aus 2 Firmen, daher 2 Hauptniederlassungen und insgesamt 17 kleinere Zweigstellen. Zusätzlich sind ca 70% der User überall bei Kunden unterwegs. Aktuell ist es so, dass in der einen Hauptniederlassung ein WSUS Server eingerichtet ist, der "seine" Firma komplett betankt, also auch die Notebooks in den Niederlassungen von dort ihre Updates holen. Da funktioniert soweit auch ganz gut, nur fände ich es geschmeidiger, wenn ich pro NL einen Downstreamserver hinstelle und die Rechner in der NL von dort die Updates holen und die WAN Strecke geschont wird. Problem 1: Die User bleiben nicht dort wo sie sein sollen Sprich ein User aus Leipzig kann durchaus auch mal eine Woche oder länger in Berlin in der NL sitzen, ohne dass sein Laptop die OU wechselt (bekommt die IT im Normalfall gar nicht mit). Der würde sich dann über 2 "so meh" angebundene Leitungen (von Berlin nach Leipzig) die Updates holen. Nicht optimal. Problem 2: Manche User sind beim Kunden und dort entweder via DSL, UMTS oder göttlicher Macht online. Bei DSL (und göttlicher Macht) sehe ich kein Problem, da dort die Verbindung zwar schlecht, aber nicht "leer" sein kann. UMTS Karten haben ein Limit und teilweise haben wir Karten, bei denen nichts hinzu gebucht werden kann. Ergo nach Update ggf GPRS. Da kommt Freude auf! Lösung 1: Mir egal, alle saugen aus ihrer jeweiligen Hauptniederlassung, nach mir die Sintflut und wenn nicht mehr gearbeitet werden kann weil die Leitung am Limit ist, dann ist das eben Pech. Lösung 2: Irgendwie über die jeweilige IP aufdröseln wo der Rechner steht und dann auf den nächstbesten WSUS verweisen. Und wenn möglich den VPN-lern sagen "du nicht Obelix, erst wenn du wieder daheim bist". Im Idealfall sogar mit Timer, wer 4 Wochen nicht in die NL kommt bekommt die Updates automatisch, auch über VPN. Die Lösung 1 habe ich gerade, zumindest für die eine Firma, Lösung 2 wäre so mein Idealszenario, aber ich habe keine Ahnung wie ich das umsetzen soll. Klar es ist "nur" WSUS, aber ich hätte das halt trotzdem gern bestmöglich umgesetzt:D Zitieren
Tiro Geschrieben 31. Oktober 2014 Geschrieben 31. Oktober 2014 Man könnte die WSUS nach Sites/ Standorten über GPO zuweisen. "Schön" ist das allerdings auch nicht. Zitieren
Maniska Geschrieben 31. Oktober 2014 Autor Geschrieben 31. Oktober 2014 Man könnte die WSUS nach Sites/ Standorten über GPO zuweisen. "Schön" ist das allerdings auch nicht. Du meinst GPO für WSUS1 auf Standort1, WSUS2 auf Standort2... Hatte ich mir auch schon überlegt, dann tritt aber Problem 1 auf. Hauptsächlich bereiten mir die UMTS-User Kopfschmerzen, der Rest ist "nice to have". Zitieren
Jens_Mander Geschrieben 31. Oktober 2014 Geschrieben 31. Oktober 2014 Was an der GPO Lösung ist nicht schön? L S D OU Sofern der WSUS nur in der Standortrichtlinie definiert wird ist doch alles bluna. Und kann man nicht die WSUS GPO mit einer entsprechenden Verbindungsabfrage bezüglich der Geschwindigkeit definieren? Leider bin ich in meiner derzeitigen Firma kein Admin mehr und kann nicht selbst nachschauen, aber mir war es so, als würde das gehen. Zitieren
SilentDemise Geschrieben 31. Oktober 2014 Geschrieben 31. Oktober 2014 (bearbeitet) ich schmeisse mal subnet mask ordering in den Raum. Erfordert allerdings, dass ein dazu passendes Netzwerk konzept existiert. Für UMTS ist die einfachste Lösung im IIS entsprechend die mobilen IP ranges auszusperren. Ich nehme mal an, die leute kommen übers VPN, daher gibt es definierte Adressbereiche, für die du das sperren kannst. Bearbeitet 31. Oktober 2014 von SilentDemise Zitieren
Hitami Geschrieben 3. November 2014 Geschrieben 3. November 2014 ich schmeisse mal subnet mask ordering in den Raum. Erfordert allerdings, dass ein dazu passendes Netzwerk konzept existiert. Für UMTS ist die einfachste Lösung im IIS entsprechend die mobilen IP ranges auszusperren. Ich nehme mal an, die leute kommen übers VPN, daher gibt es definierte Adressbereiche, für die du das sperren kannst. Aber dann sind ja in der Regel auch die UMTS Leute ausgesperrt? Zitieren
SilentDemise Geschrieben 3. November 2014 Geschrieben 3. November 2014 das ist ja auch gewollt. Zitieren
pierewoehl Geschrieben 3. November 2014 Geschrieben 3. November 2014 Du kannst in einer GPO festlegen das Updates nicht über UMTS gesaugt werden, wie bei Smartphones auch. Wo das weiß ich so auch nicht. Du könntest aber die Updateports Sperren, für den Netzwerkadapter Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.