Wie verteilt Ihr Windows-Updates in einem W2000 Netzwerk?

[Oli]

Da ja inzwischen die Zeitintervalle, wo MS Sicherheitsupdates veröffentlicht, immer kürzer werden, stellt sich die Frage, wie diese in einem W2000-Netzwerk an die Benutzer am einfachsten verteilt werden können.

Konkret geht es um Umgebugen, wo ein W2000 Server und 20-30 Clients dranhängen.

Mit der Softwareverteilung vom W2000 geht es ja nicht so einfach, da diese ja nur MSI-Pakete unterstützt.

Evtl. könnten da Scripts sehr behilflich sein, habe jedoch hier zuwenig Erfahrung.

Ciao Oliver

[Atlan]

das richtige Werkzeug ist der MS-SUS für die HotFix und wenn du eine W2K Domäne hast kann man die Servicepacks über das ADS mit Hilfe von GPOs verteilen. Ich habe beides im Einsatz, der Aufwand zur implimentierund ist minimal (ich habe mit testen und herumspielen keine 2 tage gebraucht) wenn ich jetzt machen müsste würde ich ca 0,5 Tage schätzen.

für ein neues SP einzuspielen braucht du wenn du alles eingerichtet hast vielleicht 10 min für alle, für die HotFix pro tag 2 min

Der SUS ist frei dh. es fallen keine weitern kosten an.

cu Atlan

ps. gerade weil er nur MSI-Pakete unterstützt geht ja es so einfach.
wenn du so exe verteilen willst musst du ZAP-Pakete daraus machen.

[renew]

Zitat:

Original geschrieben von Atlan
das richtige Werkzeug ist der MS-SUS für die HotFix und wenn du eine W2K Domäne hast kann man die Servicepacks über das ADS mit Hilfe von GPOs verteilen. Ich habe beides im Einsatz, der Aufwand zur implimentierund ist minimal (ich habe mit testen und herumspielen keine 2 tage gebraucht) wenn ich jetzt machen müsste würde ich ca 0,5 Tage schätzen.

für ein neues SP einzuspielen braucht du wenn du alles eingerichtet hast vielleicht 10 min für alle, für die HotFix pro tag 2 min

Der SUS ist frei dh. es fallen keine weitern kosten an.

cu Atlan

ps. gerade weil er nur MSI-Pakete unterstützt geht ja es so einfach.
wenn du so exe verteilen willst musst du ZAP-Pakete daraus machen.

Und wie machst du aus den Updates und Hotfixes - die ja exe Files sind MSI Pakete?
Oder geht das über den MS-SUS (=Software Update Service?).

Und wie machst du aus den Servicepacks - MSI Files - wenn du diese übers ADS verteilst? Hast du da vielleicht einen Hilfreichen Link für mich?

[Atlan]

wie schon geschrieben:
Der SUS ist NUR für HotFix zustandig. Du bekommst zum SUS auch eine ADM Datei mit der du die GPO um die Relevanten Einträge erweitern musst. Am Client verändert die GPO die Parameter für das Windows Update Service. Die Clients versuchen dann nicht mehr windowsupdate.microsoft.com zu erreichen sondern es wird dein SUS verwendet. Du stellst auch die Zeiten und den Updatemodus ein usw...

Servicepacks über ADS zu verteilen ist np Du musst das ServicePack entpacken (geht mit einem Parameter -x Bin aber nicht ganz sicher) und an einem Zentralen punkt im Netzt ablegen und freigeben. Dann richtest dir die GPO ein (softwareverteilung)

weitere Infos findes bei Microsoft Windows 2000 Service Pack Installation and Deployment Guide

cu Atlan

[renew]

Zitat:

Original geschrieben von Atlan
wie schon geschrieben:
Der SUS ist NUR für HotFix zustandig. Du bekommst zum SUS auch eine ADM Datei mit der du die GPO um die Relevanten Einträge erweitern musst. Am Client verändert die GPO die Parameter für das Windows Update Service. Die Clients versuchen dann nicht mehr windowsupdate.microsoft.com zu erreichen sondern es wird dein SUS verwendet. Du stellst auch die Zeiten und den Updatemodus ein usw...

Servicepacks über ADS zu verteilen ist np Du musst das ServicePack entpacken (geht mit einem Parameter -x Bin aber nicht ganz sicher) und an einem Zentralen punkt im Netzt ablegen und freigeben. Dann richtest dir die GPO ein (softwareverteilung)

weitere Infos findes bei Microsoft Windows 2000 Service Pack Installation and Deployment Guide

cu Atlan

Ich danke.

Hab ich wieder mal was gelernt.

Bin schon gespannt, vielleicht werd ich das nächstes Jahr so im Schulnetzwerk "einführen".

[Oli]

Ich hab gehört, daß das SUS nur funktioniert, wenn der Client Admin-Rechte hat.

Desweiteren muß man meines Wissens den IIS am SUS-Server laufen haben - und das möchte ich nicht unbedingt.

Ciao Oliver

[Atlan]

der SUS ist eine Zentrale Anlaufstellle im Netzwerk. Ja, der SUS brauchte einen IIS. Der "Server" brauch aber keine besonders hohe Leistung, die Updates sind nicht sehr gross (meist nur ein paar hundert kilobytes) und so oft werden sie ja auch nicht geladen. Du musst sicher keinen Server kaufen. Nimm eine ausgemusterte Workstation eines Users, W2K Server, IIS und den SUS drauf .... und du hast eine saubere und günstige lösung für das netzwerk (ich habs auch so gemacht).

Tipp am Rande: Wenn du den IIS mit dem Lockdowntool "härtest" verwende nicht den URL Scan, er verträgt sich nicht mit dem SUS.

cu Atlan

[renew]

Zitat:

Original geschrieben von Atlan

Tipp am Rande: Wenn du den IIS mit dem Lockdowntool "härtest" verwende nicht den URL Scan, er verträgt sich nicht mit dem SUS.

cu Atlan

hähh - bitte wie?

was is das Lockdowntool?

[Atlan]

das IIS Lockdown Tool 2.1 ist ein Programm das alle nichtverwendeten Funktionen aus dem IIS 5.0 / 5.1 entfernt.
Beispiel: Wenn ich das WEB Printing nicht verwende, aber trotzdem oben habe ist das ein zusätzlicher Angriffspunkt am Server. Wenn ich es aber nicht mehr oben habe kann es keiner angreifen weil es nicht mehr oben ist .

cu Atlan

[renew]

Zitat:

Original geschrieben von Atlan
das http://search.microsoft.com/search/r...own&view=en-us]IIS Lockdown Tool 2.1[/url] ist ein Programm das alle nichtverwendeten Funktionen aus dem IIS 5.0 / 5.1 entfernt.
Beispiel: Wenn ich das WEB Printing nicht verwende, aber trotzdem oben habe ist das ein zusätzlicher Angriffspunkt am Server. Wenn ich es aber nicht mehr oben habe kann es keiner angreifen weil es nicht mehr oben ist .

cu Atlan

ahso - danke!

Es hat sich eh in diese Richtung angehört, nur dass ich davor noch nie was davon gehört habe.