Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

vrijdag 18 oktober 2013 11:37

Acties:
  • Vinny1994
  • Registratie: Januari 2010
  • Laatst online: 27-11 09:46

Vinny1994

Topicstarter
Ladies and gentleman,

Als afstudeerstage / afstudeeropdracht mag ik WSUS gaan implementeren bij een productiebedrijf.

De situatie is zo dat er computers aanwezig zijn op kantoren en in fabrieken.
Bedrijf X heeft meerdere vestigingen in binnen en buitenland.

We gaan hierdoor met een hoofd server en meerdere replica servers werken.

De gewenste situatie is dat er op 1 tijdstip in de maand (bijvoorbeeld de 1e maandag om 13:00u) de updates naar 2 "test" computers gaan in de fabrieken.
Op deze computers worden de updates geïnstalleerd en hier werken de mensen gewoon op door zoals normaal. Wanneer de updates geen problemen veroorzaken worden deze 2 weken later naar de overige computers in de fabrieken gestuurd.

Ditzelfde geldt voor de computers op kantoor.

Ik had zelf in gedachte dat wanneer een update de 1e maandag van de maand om 13:00u geïnstalleerd moet worden om dan om 11:00u de update goed te keuren. Via een policy wil ik instellen dat de computer elk uur checkt voor updates. Wannnee de update dus om 11:00u is goedgekeurd gaat de computer controleren op updates en met wat geluk direct downloaden en installeren.
Twee weken later wordt dit herhaald voor de rest van de computers.

Nu komen mijn vragen:

Hoe kan ik ervoor zorgen dat wanneer een update geinstalleerd is de gebruiker 7 dagen (of 2 of 5 whatever) de tijd heeft om de pc op een geschikt moment opnieuw op te starten en wanneer dit na die tijd niet gebeurd is dat de pc vanzelf opnieuw opstart?

Verder ben ik opzoek naar een mogelijkheid om inTERnet te blokkeren, maar inTRAnet toe te staan en Windows Updates en ander verbindingen ook toe te staan.
Dit wil ik graag voor de computers in de fabrieken implementeren.

Hopelijk kunnen jullie me helpen.


Met vriendelijke groet,

Vincent

PS: De gebruite OS'en zijn Windows Server 2003 t/m 2012 en Windows XP, Windows 7 en Windows 8.

vrijdag 18 oktober 2013 13:32

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik haal de typo even uit de topictitel.

V.w.b. de eerste vraag wil je eerst de risico's van ongevraagde reboot kennen (t.o.v. de risico's van nooit rebooten). Kan er geen data verloren gaan? IMHO wil je mensen er op aanspreken als het niet gebeurt.

De tweede vraag heeft niets met WSUS te maken en meer met (de rest van) de huidige infra. Afhankelijk van de wensen firewall, proxy, routering, browserinstellingen, oid.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 18 oktober 2013 21:10

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 17:15

Duinkonijn

Huh?

Je zou op basis van events & geplande taken reboots kunnen inplannen(Vista en jonger).
gezien de GPO`s deze grote tijdspannen niet onder steunen

Geplande installatie van updates wordt ook niet altijd gewaardeerd.. Excel wil wel eens over de kop gaan, als hij ondergronds wordt bijgewerkt.

Reboots. een kantoor machine die om 02:00 niet uitgezet is, kan wel een reboot hebben.. had de gebruiker maar af moeten sluiten. Maar wat doe je aan de computer van de CNC* die halverwege z`n project bezig is.

*of een ander kritisch product
F_J_K schreef op vrijdag 18 oktober 2013 @ 13:32:
IMHO wil je mensen er op aanspreken als het niet gebeurt.
Dat is per situatie verschillend.

bv.
-kiosk/infopunten hebben geen vaste gebruikers. automatiseren is dan praktisch de enige oplossing
Bij m`n administratie staan ze 1x per week ingesteld. gebruikers sluiten keurig af

Maar bij de leerlingen geworden ze geforceerd geïnstalleerd 5 min na opstart.
Die gasten hebben echt geen geduld om te wachten dat update 4 van 4 geïnstalleerd is. met 700 cliënts en 2000 hackertjes leerlingen, ga ik of het management ze echt niet aanspreken.

[ Voor 38% gewijzigd door Duinkonijn op 18-10-2013 21:19 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 18 oktober 2013 21:15

Acties:
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Niet om flauw of lullig te doen maar ... wij zijn juist van WSUS af aan het stappen. Wij beheren een 40 tal omgevingen (aparte domeinen) met ruim 800 servers en zijn hiervoor SCCM 2012 aan het inzetten om de updates gestructureerd en gecontroleerd uit te rollen. Middels maintenance windows kan je dit redelijk goed forceren.

Nadeel van WSUS is nog altijd dat het een pull mechanisme betreft. De clients zelf bepalen wanneer ze gaan updaten. Met SCCM draai je het om en push je de updates naar de systemen en heb je, imo, veel meer controle over je compliance level.

https://discord.com/invite/tweakers

vrijdag 18 oktober 2013 21:26

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 17:15

Duinkonijn

Huh?

Dat is ook een interessant punt, je heb verschillende technieken om updates uit te rollen.

Een onderzoek naar de oplossingen daarin, geeft het bedrijf eventueel extra mogelijkheden.
Mits het bedrijf dit stadium nog niet is gepasseerd.

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 18 oktober 2013 23:50

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Duinkonijn schreef op vrijdag 18 oktober 2013 @ 21:10:
Dat is per situatie verschillend.
Natuurlijk. Ik wilde alleen niet aannemen dat er 's nachts geen dataverlies kan zijn bij een client die reboot. Zat machines die 24/7 moeten worden aangestuurd.

Als de fabriek geen 24-uursdiensten draait is een reboot om 3 uur 's nachts is zoals je al aangaf een reboot sowieso prima te schedulen. Of gewoon iedere avond uitzetten

Als onderdeel van een afstudeerstage jezelf afvragen of de opdracht wel de juiste richting is, is IMHO altijd bonuspunten waard. (Of de begeleider dat ook zo ziet moet je zelf even polsen :+ )

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 20 oktober 2013 10:56

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

In dat kader is de opdrachtomschrijving al te gericht.

"Onderzoek en implementeer een methode om alle clients te voorzien van updates", zou veel beter geweest zijn.

WSUS is ook enkel gefocussed op MS produkten, hoe ga je alle andere non-MS software pakketten updaten? (of vallen deze buiten de scope van de opdracht?)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zondag 20 oktober 2013 19:23

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Vinny1994 schreef op vrijdag 18 oktober 2013 @ 11:37:
Nu komen mijn vragen:

Hoe kan ik ervoor zorgen dat wanneer een update geinstalleerd is de gebruiker 7 dagen (of 2 of 5 whatever) de tijd heeft om de pc op een geschikt moment opnieuw op te starten en wanneer dit na die tijd niet gebeurd is dat de pc vanzelf opnieuw opstart?
Je kunt via een GPO instellen dat een computer automatisch herstart wordt op een bepaalde tijd. Dus dan zou je updates op maandag 11:00 uur deployen ofzo, en dan die maandag daarop voor werktijd een herstart doen. Je kunt ook met een GPO volgens mij instellen dat er een herstart een bepaalde delay heeft, maar een gebruiker kan niet klikken "nu niet herstarten" (kan met SCCM wel)
Verder ben ik opzoek naar een mogelijkheid om inTERnet te blokkeren, maar inTRAnet toe te staan en Windows Updates en ander verbindingen ook toe te staan.
Dit wil ik graag voor de computers in de fabrieken implementeren.
Een firewall o.i.d met een goede rules (die toegang naar Windows Updates en Intranet en "andere verbindingen") toestaan. Maar dit heeft niks met WSUS te maken.

[ Voor 6% gewijzigd door Turdie op 20-10-2013 19:27 ]

maandag 21 oktober 2013 09:14

Acties:
  • Vinny1994
  • Registratie: Januari 2010
  • Laatst online: 27-11 09:46

Vinny1994

Topicstarter
Iedereen bedank voor zijn/haar antwoord.

De 2 vragen , waarvan de 2e idd niet wsus-related is maar wel een van de bijzaken is voor mijn project , zijn vragen vanuit het bedrijf.

Verder wil het bedrijf per-se wsus, ook vanwegen kosten etc.

Het reboot verhaal nog even kort uitgelegd:
Het bedrijf wil dat er 7 dagen lang een melding in beeld staat dat de computer een reboot moet hebben. Het is dan aan de gebruiker om dit te doen. Doet de gebruiker dit niet dan wordt het automatisch gedaan en is data corruptie jammer.

Dit is een hele extreme manier van een reboot forceren, ik vind dat je gebruikers ook instructies kunt geven om hun pc gewoon te rebooten wanneer hier een melding van komt. Echter kan ik dit natuurlijk meenemen in mijn adviesplan.

Verder zijn ze opzoek naar een makkelijke manier om het internet, intranet en wsus verhaal te realiseren. Liever niet via een firewall aangezien je dan veel aan het instellen bent.

Alleen lijkt me een "makkelijke" manier praktisch onmogelijk...

maandag 21 oktober 2013 09:47

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Vinny1994 schreef op maandag 21 oktober 2013 @ 09:14:
Verder zijn ze opzoek naar een makkelijke manier om het internet, intranet en wsus verhaal te realiseren. Liever niet via een firewall aangezien je dan veel aan het instellen bent.

Alleen lijkt me een "makkelijke" manier praktisch onmogelijk...
Leuk dat het bedrijf dat ook wil, en als je het erbij kunt hebben is dat mooi meegenomen, maar heel zwart/wit gezien valt dit buiten jouw opdrachtscope. Het is jouw afstudeerproject om WSUS te implementeren, niet om op een veilige manier internet toegang te regelen.

Defineer in je projectplan dan ook heel duidelijk je scope. Heb je aan het einde van je afstuderen tijd over, dan kun je er altijd nog wel eens naar kijken. Je moet een beetje voorkomen dat je in tijdnood gaat komen, focus je dus op je opdracht..

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 21 oktober 2013 11:24

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Vinny1994 schreef op maandag 21 oktober 2013 @ 09:14:
Het reboot verhaal nog even kort uitgelegd:
Het bedrijf wil dat er 7 dagen lang een melding in beeld staat dat de computer een reboot moet hebben. Het is dan aan de gebruiker om dit te doen. Doet de gebruiker dit niet dan wordt het automatisch gedaan en is data corruptie jammer.

Dit is een hele extreme manier van een reboot forceren, ik vind dat je gebruikers ook instructies kunt geven om hun pc gewoon te rebooten wanneer hier een melding van komt. Echter kan ik dit natuurlijk meenemen in mijn adviesplan.

Verder zijn ze opzoek naar een makkelijke manier om het internet, intranet en wsus verhaal te realiseren. Liever niet via een firewall aangezien je dan veel aan het instellen bent...
Ik vind dit reboot verhaal wel een beetje gebruikertje pesten maar goed. Zoals eerder gezegd is WSUS een pull mechanisme, dus zodra een client zijn updates installeert zal in de meeste gevallen ook een reboot achter aan komen. Het is dus niet zo dat je updates kunt installeren, en dan 7 dagen lang een melding in beeld hebt, en dat de gebruiker dan kiezen wanneer hij reboot. Eventueel kun je dat wel schedulen om dat voor- of na werktijd te doen. Wellicht is een goed idee om met je opdrachtgever te praten over deze eis, en de vraag neerleggen of je ook andere opties mag aandragen zoals SCCM. SCCM is ook een product van Microsoft en integreert met WSUS, maar geeft meer controle aan de gebruiker en beheerder.

En dan het tweede verhaal,
Ik ga het nu even zwart/wit zeggen, maar er is geen makkelijke manier om het intranet, intranet en wsus verhaal te realiseren. De enige manier is of netwerk routes of rules in een firewall.

Zoals gezegd ga met je opdrachtgever in gesprek over de eisen.
Probeer de eisen zo om te turnen dat je wat meer vrijheid krijgt en alternatieven kan aandragen.

Dit is een voorbeeld hoe de vragen/eisen zouden moet zijn
  • Hoe kan patch management gedaan worden voor onze clients?
  • Hoe kunnen we er voor zorgen dat onze clients alleen naar Windows Updates kunnen?

[ Voor 17% gewijzigd door Turdie op 21-10-2013 11:32 ]

maandag 21 oktober 2013 18:00

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 17:15

Duinkonijn

Huh?

Mbt internet/intranet. Je kan nog dmv gpo naar een niet-bestaande proxy verwijzen, met de intranet als uitgezondering

Andere optie is een dns server die alleen intern resolved.

De computer whizzkid blokkeer je der niet mee, maar het standaard personeel
Geeft het snel op

[ Voor 21% gewijzigd door Duinkonijn op 21-10-2013 18:03 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 23 oktober 2013 09:06

Acties:
  • Vinny1994
  • Registratie: Januari 2010
  • Laatst online: 27-11 09:46

Vinny1994

Topicstarter
Bedankt voor jullie reacties,

Echter zit ik wel met iets waar ik niet uit kom:

Ik wil mijn clients graag zo instellen dat ze op een x tijd updates downloaden en ook direct installeren.
Dit kan ik instellen via de "configure automatic updates" policy en deze in te sellen op "4 - auto download and schedule the installation" en dan "every day @ xx:00u".

Echter , de clients downloaden de update dan wel , maar ik moet op het gele update icoon klikken en de installatie handmatig starten, dat is niet wat ik wil!

Weet iemand hoe ik het kan instellen dat de clients ook daadwerkelijk de updates automatisch installeren?

woensdag 23 oktober 2013 09:12

Acties:
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

Vinny1994 schreef op woensdag 23 oktober 2013 @ 09:06:
Bedankt voor jullie reacties,

Echter zit ik wel met iets waar ik niet uit kom:

Ik wil mijn clients graag zo instellen dat ze op een x tijd updates downloaden en ook direct installeren.
Dit kan ik instellen via de "configure automatic updates" policy en deze in te sellen op "4 - auto download and schedule the installation" en dan "every day @ xx:00u".

Echter , de clients downloaden de update dan wel , maar ik moet op het gele update icoon klikken en de installatie handmatig starten, dat is niet wat ik wil!

Weet iemand hoe ik het kan instellen dat de clients ook daadwerkelijk de updates automatisch installeren?
Heb je een test omgeving? Dan ga je daar naar hartelust de boel en de verschillende instellingen testen. Als je die niet hebt en je moet in de productie omgeving werken is het heel vervelend.

Overigens, voor servers waarop niemand is ingelogd maar waarop toch updates worden geinstalleerd zal het systeem in de meeste gevallen binnen 15 minuten na het installeren van de updates automatisch herstarten. Test dus ERG goed met je instellingen om te voorkomen dat je productie servers midden op de dag ineens herstarten omdat ze in hun hoofd hebben gehaald om updates te installeren.

https://discord.com/invite/tweakers

woensdag 23 oktober 2013 09:14

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Bij optie 4 installeert ie alleen, er is geen optie die hem automatisch herstart.

[ Voor 69% gewijzigd door Turdie op 23-10-2013 09:17 ]

woensdag 23 oktober 2013 09:17

Acties:
  • redfoxert
  • Registratie: December 2000
  • Niet online

redfoxert

shadowman12 schreef op woensdag 23 oktober 2013 @ 09:14:
Eigenlijk is het 4 - Auto download and schedule the install. Hij zou dan op een specifiek tijdstip moeten herstarten.Wellicht is er een andere settings die dat verhinderd?
Dan moet er wel een tijdstip ingesteld staan WANNEER hij dit moet schedulen. Als dat veld leeg is in de GPO gaat er niks gebeuren :)

@TS: Post eens alle settings van je GPO.

https://discord.com/invite/tweakers

woensdag 23 oktober 2013 09:19

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

In Windows 8 kun je instellen dat ie op een specifiek tijdstip herstart, anders is het alleen downloaden en installeren (en zul je dus door middel van een script of een scheduled tasks een herstart moeten doen):

Enabling a more predictable Windows Update experience for Windows 8 and Windows Server 2012 (KB 2885694)

GPO settings kun je makkelijk achterhalen met GPResult /v /H GPReport.html

[ Voor 33% gewijzigd door Turdie op 23-10-2013 10:01 ]

woensdag 23 oktober 2013 11:18

Acties:
  • Vinny1994
  • Registratie: Januari 2010
  • Laatst online: 27-11 09:46

Vinny1994

Topicstarter
Mijn policy's :

Configure automatic updates > 4 - Auto download and schedule the install @ every day @ 12:00u

Specify intranet microsoft update service location > http://servername:portnumber

Automatic Updates detection frequency > 1hour

Allow non-administrators to receive update notifications > Enabled

Re-prompt for restart with scheduled installations > 60mins

Enable client –side targeting > TEST WSUS.


Het gaat me nu even om het downloaden en installeren. Mijn clients downloaden wel maar installeren niet? Dit moet ik handmatig doen en dat is niet wat ik wil. Ik wil dat als ik instel dat hij om 12u gaat installeren dat hij dan ook echt om 12u gaat installeren en niet dat ik om 12u op de client de installatie handmatig kan starten.

Het reboot verhaal kom ik nog wel uit. Dit ga ik denk ik via een scheduled task regelen!

woensdag 23 oktober 2013 13:32

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Staan er meldingen in de Event Logs, want hiermee zou hij ook moeten installeren. Of errors in de WindowsUpdate.log?

vrijdag 25 oktober 2013 11:44

Acties:
  • Vinny1994
  • Registratie: Januari 2010
  • Laatst online: 27-11 09:46

Vinny1994

Topicstarter
Gister mijn server opnieuw ingericht. De cliënts updaten nu wel naar behoren en volgens de ingestelde tijd.

Echter wil ik nu een scheduled task via GPO instellen die elk uur een wuauclt/detectnow uitvoert. Van mijn 5 test systemen werkt het voor 3 (Win XP) , 1 Win XP machine en de 2 W7 machines vertikken het om de task via GPO over te nemen. Wat kan dit zijn?

vrijdag 25 oktober 2013 20:49

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Vinny1994 schreef op vrijdag 25 oktober 2013 @ 11:44:
Gister mijn server opnieuw ingericht. De cliënts updaten nu wel naar behoren en volgens de ingestelde tijd.

Echter wil ik nu een scheduled task via GPO instellen die elk uur een wuauclt/detectnow uitvoert. Van mijn 5 test systemen werkt het voor 3 (Win XP) , 1 Win XP machine en de 2 W7 machines vertikken het om de task via GPO over te nemen. Wat kan dit zijn?
Wellicht zijn de GPO's nog niet vervest? Er daarnaast hebben W7 machines andere GPO dan Windows XP. Wat voor server versie hebben jullie draaien? Vertel aub wat meer hoe jullie omgeving is ingericht wat nu is het echt glazen bol. Of huur iemand met specialistische kennis in die jouw kan ondersteunen, want ik merk aan je vragen dat jij echt kennis tekort komt.

Het kan echt zoveel oorzaken hebben.

Wat gebeurt en wat je krijgt in de windowsupdate.log te zien als je op machine zelf een wuauclt /detectnow doet op de Windows 7 machine zelf? Zie je wel taak in de task scheduler staan op Windows 7 machine zelf? Daarnaast de standaard logging goed doorkijken zoals Event Viewer, WindowsUpdate.log

Wat ik trouwens ook niet snap dat het bedrijf waar je werkt jouw de opdracht geeft om met WSUS te implementeren, maar dat terzijde.

[ Voor 47% gewijzigd door Turdie op 25-10-2013 23:35 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq