WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Netzwerke (http://www.wcm.at/forum/forumdisplay.php?f=32)
-   -   Wie verteilt Ihr Windows-Updates in einem W2000 Netzwerk? (http://www.wcm.at/forum/showthread.php?t=106252)

Oli 21.08.2003 11:24
Wie verteilt Ihr Windows-Updates in einem W2000 Netzwerk?
 
Da ja inzwischen die Zeitintervalle, wo MS Sicherheitsupdates veröffentlicht, immer kürzer werden, stellt sich die Frage, wie diese in einem W2000-Netzwerk an die Benutzer am einfachsten verteilt werden können.

Konkret geht es um Umgebugen, wo ein W2000 Server und 20-30 Clients dranhängen.

Mit der Softwareverteilung vom W2000 geht es ja nicht so einfach, da diese ja nur MSI-Pakete unterstützt.

Evtl. könnten da Scripts sehr behilflich sein, habe jedoch hier zuwenig Erfahrung.

Ciao Oliver

Atlan 21.08.2003 13:55
das richtige Werkzeug ist der MS-SUS für die HotFix und wenn du eine W2K Domäne hast kann man die Servicepacks über das ADS mit Hilfe von GPOs verteilen. Ich habe beides im Einsatz, der Aufwand zur implimentierund ist minimal (ich habe mit testen und herumspielen keine 2 tage gebraucht) wenn ich jetzt machen müsste würde ich ca 0,5 Tage schätzen.

für ein neues SP einzuspielen braucht du wenn du alles eingerichtet hast vielleicht 10 min für alle, für die HotFix pro tag 2 min ;)

Der SUS ist frei dh. es fallen keine weitern kosten an.

cu Atlan

ps. gerade weil er nur MSI-Pakete unterstützt geht ja es so einfach.
wenn du so exe verteilen willst musst du ZAP-Pakete daraus machen.

renew 21.08.2003 14:19
Zitat:
Original geschrieben von Atlan
das richtige Werkzeug ist der MS-SUS für die HotFix und wenn du eine W2K Domäne hast kann man die Servicepacks über das ADS mit Hilfe von GPOs verteilen. Ich habe beides im Einsatz, der Aufwand zur implimentierund ist minimal (ich habe mit testen und herumspielen keine 2 tage gebraucht) wenn ich jetzt machen müsste würde ich ca 0,5 Tage schätzen.

für ein neues SP einzuspielen braucht du wenn du alles eingerichtet hast vielleicht 10 min für alle, für die HotFix pro tag 2 min ;)

Der SUS ist frei dh. es fallen keine weitern kosten an.

cu Atlan

ps. gerade weil er nur MSI-Pakete unterstützt geht ja es so einfach.
wenn du so exe verteilen willst musst du ZAP-Pakete daraus machen.
Und wie machst du aus den Updates und Hotfixes - die ja exe Files sind MSI Pakete?
Oder geht das über den MS-SUS (=Software Update Service?).

Und wie machst du aus den Servicepacks - MSI Files - wenn du diese übers ADS verteilst? Hast du da vielleicht einen Hilfreichen Link für mich? :)

Atlan 21.08.2003 15:44
wie schon geschrieben:
Der SUS ist NUR für HotFix zustandig. Du bekommst zum SUS auch eine ADM Datei mit der du die GPO um die Relevanten Einträge erweitern musst. Am Client verändert die GPO die Parameter für das Windows Update Service. Die Clients versuchen dann nicht mehr windowsupdate.microsoft.com zu erreichen sondern es wird dein SUS verwendet. Du stellst auch die Zeiten und den Updatemodus ein usw...

Servicepacks über ADS zu verteilen ist np ;) Du musst das ServicePack entpacken (geht mit einem Parameter -x Bin aber nicht ganz sicher) und an einem Zentralen punkt im Netzt ablegen und freigeben. Dann richtest dir die GPO ein (softwareverteilung)

weitere Infos findes bei Microsoft Windows 2000 Service Pack Installation and Deployment Guide

cu Atlan

renew 21.08.2003 16:01
Zitat:
Original geschrieben von Atlan
wie schon geschrieben:
Der SUS ist NUR für HotFix zustandig. Du bekommst zum SUS auch eine ADM Datei mit der du die GPO um die Relevanten Einträge erweitern musst. Am Client verändert die GPO die Parameter für das Windows Update Service. Die Clients versuchen dann nicht mehr windowsupdate.microsoft.com zu erreichen sondern es wird dein SUS verwendet. Du stellst auch die Zeiten und den Updatemodus ein usw...

Servicepacks über ADS zu verteilen ist np ;) Du musst das ServicePack entpacken (geht mit einem Parameter -x Bin aber nicht ganz sicher) und an einem Zentralen punkt im Netzt ablegen und freigeben. Dann richtest dir die GPO ein (softwareverteilung)

weitere Infos findes bei Microsoft Windows 2000 Service Pack Installation and Deployment Guide

cu Atlan
Ich danke. :)

Hab ich wieder mal was gelernt.

Bin schon gespannt, vielleicht werd ich das nächstes Jahr so im Schulnetzwerk "einführen". :D

Oli 22.08.2003 09:43
Ich hab gehört, daß das SUS nur funktioniert, wenn der Client Admin-Rechte hat.

Desweiteren muß man meines Wissens den IIS am SUS-Server laufen haben - und das möchte ich nicht unbedingt.

Ciao Oliver

Atlan 25.08.2003 11:49
der SUS ist eine Zentrale Anlaufstellle im Netzwerk. Ja, der SUS brauchte einen IIS. Der "Server" brauch aber keine besonders hohe Leistung, die Updates sind nicht sehr gross (meist nur ein paar hundert kilobytes) und so oft werden sie ja auch nicht geladen. Du musst sicher keinen Server kaufen. Nimm eine ausgemusterte Workstation eines Users, W2K Server, IIS und den SUS drauf .... und du hast eine saubere und günstige lösung für das netzwerk (ich habs auch so gemacht).

Tipp am Rande: Wenn du den IIS mit dem Lockdowntool "härtest" verwende nicht den URL Scan, er verträgt sich nicht mit dem SUS.

cu Atlan

renew 25.08.2003 13:40
Zitat:
Original geschrieben von Atlan

Tipp am Rande: Wenn du den IIS mit dem Lockdowntool "härtest" verwende nicht den URL Scan, er verträgt sich nicht mit dem SUS.

cu Atlan
hähh - bitte wie? ;)

was is das Lockdowntool?

Atlan 26.08.2003 12:58
das IIS Lockdown Tool 2.1 ist ein Programm das alle nichtverwendeten Funktionen aus dem IIS 5.0 / 5.1 entfernt.
Beispiel: Wenn ich das WEB Printing nicht verwende, aber trotzdem oben habe ist das ein zusätzlicher Angriffspunkt am Server. Wenn ich es aber nicht mehr oben habe kann es keiner angreifen weil es nicht mehr oben ist ;).

cu Atlan

renew 26.08.2003 13:04
Zitat:
Original geschrieben von Atlan
das http://search.microsoft.com/search/r...own&view=en-us]IIS Lockdown Tool 2.1[/url] ist ein Programm das alle nichtverwendeten Funktionen aus dem IIS 5.0 / 5.1 entfernt.
Beispiel: Wenn ich das WEB Printing nicht verwende, aber trotzdem oben habe ist das ein zusätzlicher Angriffspunkt am Server. Wenn ich es aber nicht mehr oben habe kann es keiner angreifen weil es nicht mehr oben ist ;).

cu Atlan
ahso - danke!

Es hat sich eh in diese Richtung angehört, nur dass ich davor noch nie was davon gehört habe. :)

kkdu 29.08.2003 11:06
es geht aber auch ohne lokalen admin wenn man den clients das zeitgesteuerte installieren der hotfixes zu einem fixen zeitpunkt aufzwingt...
und manchmal ist es von vorteil statt dem server namen die fixe ip des sus einzutragen weil es sonst bei manchen clients zu zeitweiligen problemen kommen kann (findet server nicht...) habs selber miterlebt bei unserem netz dass 5 kisten einfach nicht wollten, die anderen 195 mit den selben einstellungen aber problemlos gefunzt haben. hab den tipp dan in der knowledge base gefunden, hat aber auch niemand erklären können warum und bei welchen rechnern das problem auftrit...

Atlan 01.09.2003 21:08
ich hatte das problem auch, es liegt an der namensauflösung. Ich löse jetzt den SUS über NetBIOS auf und es funktioniert wunderprächtig

käptn 03.09.2003 11:54
Zitat:
Original geschrieben von Atlan
Du bekommst zum SUS auch eine ADM Datei mit der du die GPO um die Relevanten Einträge erweitern musst.
Hm, shize - ich find das nicht. :)
Wo muss ich suchen?

TIA

~

pollux 03.09.2003 12:41
Link
 
Link für die Downloadseite
http://www.microsoft.com/downloads/d...displaylang=en

Rechts gibts dann u.a. das ADM File oder hier der direkte Link
http://www.microsoft.com/downloads/d...displaylang=en

käptn 03.09.2003 12:45
Aahhhh danke.

Den SUS hatte ich schon, das ADM File hab ich gesucht.
Was kann denn der SUS-Client?

~

pollux 04.09.2003 10:43
Client
 
Der Client holt sich die Updates vom Server, ist seit SP3 inkludiert, wennst SP2 hast brauchst den download.


Alle Zeitangaben in WEZ +2. Es ist jetzt 12:44 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag