Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Vraag


  • _sappie_
  • Registratie: Juni 2012
  • Laatst online: 24-11 14:00
Mijn vraag is hoe ik kan configureren dat WSUS per maand gaat installeren.
Ik loop stage bij een bedrijf die uitvoerders heeft met laptops die niet in het domein hangen maar moeten worden verbonden aan VMware AirWatch.
Hiermee kan ik instellen dat de laptops updates krijgen van een WSUS-server die in een DMZ staat van het bedrijf.

Wat ik al gevonden of geprobeerd heb om te kijken bij alle instellingen van de WSUS service maar nergens in kan stellen dat ie per maand approved oid.

Als iemand hier veel ervaring mee heeft en mij informatie kan geven zou ik erg waarderen. ;)

Met vriendelijke groet,

Andries van der Sluis

Alle reacties


  • CaPuT
  • Registratie: Januari 2007
  • Laatst online: 28-11 00:05
Is handmatig approven geen optie?
Of wanneer jullie het gebruiken, SCCM?

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 17-11 22:19
Je auto-approved of je auto-approved niet. Als je dat niet doet dan zet je een herinnering in je agenda iedere maand om de patches van die maand te approven.

Computer says no


  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 15:17
Als je 100% controle wilt; SCCM.

Met WSUS kan je volgens mij alleen via AD-policies of local policies (gpo) aangeven met welke frequentie er op updates gecontrolleerd word (1-22 uur) en welke dag de updates geinstalleerd mogen worden. (Je kan nog meer instellen, maar deze gaan over scheduling ;))

  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022
_sappie_ schreef op woensdag 26 april 2017 @ 16:11:
Mijn vraag is hoe ik kan configureren dat WSUS per maand gaat installeren.
Het korte antwoord is niet.

WSUS is een gecentraliseerde manier om de updates aan te bieden. De computers moeten echter zelf hun lokale Windows Update gebruiken om de updates op te halen van je WSUS server.Die lokale Windows Update kan je sturen met group policy als je machines in een domein zitten. Eventueel kan je lokale policy zetten indien de machine niet lid is van een domein. Toch blijft dit heel basic. SCCM geeft heel granulaire controle over de distributie van updates, ook kan je ze dan pushen in plaats van de pull configuratie van WSUS.

Maar als ik vragen mag, waarom die rare oplossing met een WSUS server in je DMZ? Ik zou dan lekker die laptops laten updaten via Microsoft. Scheelt jou een hoop werk. Je hoeft enkel de lokale update client in te stellen welke updates opgehaald moeten worden. Dan ben je klaar.

  • Beekforel
  • Registratie: November 2001
  • Laatst online: 18:03

Beekforel

Is eigenlijk geen vis

Met een beetje PowerShell kun je approven zoals jij wilt, zet dat in een scheduled task en je bent een heel eind.

  • _sappie_
  • Registratie: Juni 2012
  • Laatst online: 24-11 14:00
CMD-Snake schreef op woensdag 26 april 2017 @ 19:03:
[...]


Het korte antwoord is niet.

WSUS is een gecentraliseerde manier om de updates aan te bieden. De computers moeten echter zelf hun lokale Windows Update gebruiken om de updates op te halen van je WSUS server.Die lokale Windows Update kan je sturen met group policy als je machines in een domein zitten. Eventueel kan je lokale policy zetten indien de machine niet lid is van een domein. Toch blijft dit heel basic. SCCM geeft heel granulaire controle over de distributie van updates, ook kan je ze dan pushen in plaats van de pull configuratie van WSUS.

Maar als ik vragen mag, waarom die rare oplossing met een WSUS server in je DMZ? Ik zou dan lekker die laptops laten updaten via Microsoft. Scheelt jou een hoop werk. Je hoeft enkel de lokale update client in te stellen welke updates opgehaald moeten worden. Dan ben je klaar.
De reden dat de server in het DMZ staat is dat wij kunnen bepalen welke updates ernaartoe mogen gaan. anders heb je er straks een update tussen zitten die laptops niet meer kan laten verbinden met internet, waardoor ze dan weer niet meer kunnen verbinden met Airwatch MDM

  • _sappie_
  • Registratie: Juni 2012
  • Laatst online: 24-11 14:00
Beekforel schreef op woensdag 26 april 2017 @ 19:34:
Met een beetje PowerShell kun je approven zoals jij wilt, zet dat in een scheduled task en je bent een heel eind.
Heeft u dan misschien een voorbeeld of informatie?

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 17-11 22:19
_sappie_ schreef op vrijdag 28 april 2017 @ 09:08:
[...]


De reden dat de server in het DMZ staat is dat wij kunnen bepalen welke updates ernaartoe mogen gaan. anders heb je er straks een update tussen zitten die laptops niet meer kan laten verbinden met internet, waardoor ze dan weer niet meer kunnen verbinden met Airwatch MDM
Je spreekt hier jezelf een beetje tegen. Je wilt Zelf bepalen welke updates approved worden, maar vervolgens wil je automatisch approven?
Nogmaals de installatie van de updates wordt niet door WSUS geregeld maar door de instellingen van de windows update agent op de client (welke je dus met GPO's kunt instellen).

Computer says no


  • Beekforel
  • Registratie: November 2001
  • Laatst online: 18:03

Beekforel

Is eigenlijk geen vis

_sappie_ schreef op vrijdag 28 april 2017 @ 09:09:
[...]


Heeft u dan misschien een voorbeeld of informatie?
Bijvoorbeeld https://4sysops.com/archi...with-a-powershell-script/

Zijn genoeg voorbeelden te vinden. Even rondzoeken. En vervolgens aanpassen op je eigen situatie.

  • _sappie_
  • Registratie: Juni 2012
  • Laatst online: 24-11 14:00
Meekoh schreef op vrijdag 28 april 2017 @ 09:12:
[...]

Je spreekt hier jezelf een beetje tegen. Je wilt Zelf bepalen welke updates approved worden, maar vervolgens wil je automatisch approven?
Nogmaals de installatie van de updates wordt niet door WSUS geregeld maar door de instellingen van de windows update agent op de client (welke je dus met GPO's kunt instellen).
Beide klopt van dat we het willen controleren en automatisch approved. Als er een update rond gaat die de laptop dwars kan zitten dan willen we die voorkomen.
Ik zou het dan mooi vinden dat de updates dan maandelijks naar de laptops komen aldus misschien maandelijks approven of syncen.

  • _sappie_
  • Registratie: Juni 2012
  • Laatst online: 24-11 14:00
Beekforel schreef op vrijdag 28 april 2017 @ 09:16:
[...]

Bijvoorbeeld https://4sysops.com/archi...with-a-powershell-script/

Zijn genoeg voorbeelden te vinden. Even rondzoeken. En vervolgens aanpassen op je eigen situatie.
Dankuwel ;) zal er zo even lekker doorheen neuzen

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 17-11 22:19
_sappie_ schreef op vrijdag 28 april 2017 @ 09:17:
[...]


Beide klopt van dat we het willen controleren en automatisch approved. Als er een update rond gaat die de laptop dwars kan zitten dan willen we die voorkomen.
Ik zou het dan mooi vinden dat de updates dan maandelijks naar de laptops komen aldus misschien maandelijks approven of syncen.
En hoe denk je dat te voorkomen als je alles auto-approved? Je moet nog steeds naar die GPO's gaan kijken, die bepalen wanneer het geinstalleerd wordt. Er kan bijv. rustig een week zitten tussen het approven van een update en het werkelijke installatie moment, it's all in the GPO's.

Computer says no


  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022
_sappie_ schreef op vrijdag 28 april 2017 @ 09:08:
De reden dat de server in het DMZ staat is dat wij kunnen bepalen welke updates ernaartoe mogen gaan. anders heb je er straks een update tussen zitten die laptops niet meer kan laten verbinden met internet, waardoor ze dan weer niet meer kunnen verbinden met Airwatch MDM
En hoe vaak is dat voorgekomen?

Dit is strijdig met je opmerking dat de updates automatisch goedgekeurd moeten worden. Je rolt dan alsnog de update meteen uit. Dan kan je net zo goed de Microsoft servers gebruiken.

Je moet de laptops instellen dat ze alleen security updates doen en alle feature updates laten voor wat ze zijn. Indien een security update Airwatch stuk maakt moet je ernstig nadenken over het product en niet de updates.
Pagina: 1