WSUS updates - Serversoftware en clouddiensten

Vraag

woensdag 26 april 2017 16:11

Acties:

Topicstarter

Mijn vraag is hoe ik kan configureren dat WSUS per maand gaat installeren.
Ik loop stage bij een bedrijf die uitvoerders heeft met laptops die niet in het domein hangen maar moeten worden verbonden aan VMware AirWatch.
Hiermee kan ik instellen dat de laptops updates krijgen van een WSUS-server die in een DMZ staat van het bedrijf.

Wat ik al gevonden of geprobeerd heb om te kijken bij alle instellingen van de WSUS service maar nergens in kan stellen dat ie per maand approved oid.

Als iemand hier veel ervaring mee heeft en mij informatie kan geven zou ik erg waarderen.

Met vriendelijke groet,

Andries van der Sluis

Alle reacties

woensdag 26 april 2017 16:39

Acties:

CaPuT

Is handmatig approven geen optie?
Of wanneer jullie het gebruiken, SCCM?

woensdag 26 april 2017 16:41

Acties:

Meekoh

Je auto-approved of je auto-approved niet. Als je dat niet doet dan zet je een herinnering in je agenda iedere maand om de patches van die maand te approven.

Computer says no

woensdag 26 april 2017 16:43

Acties:

eric.1

Als je 100% controle wilt; SCCM.

Met WSUS kan je volgens mij alleen via AD-policies of local policies (gpo) aangeven met welke frequentie er op updates gecontrolleerd word (1-22 uur) en welke dag de updates geinstalleerd mogen worden. (Je kan nog meer instellen, maar deze gaan over scheduling

)

woensdag 26 april 2017 19:03

Acties:

CMD-Snake

_sappie_ schreef op woensdag 26 april 2017 @ 16:11:
Mijn vraag is hoe ik kan configureren dat WSUS per maand gaat installeren.

Het korte antwoord is niet.

WSUS is een gecentraliseerde manier om de updates aan te bieden. De computers moeten echter zelf hun lokale Windows Update gebruiken om de updates op te halen van je WSUS server.Die lokale Windows Update kan je sturen met group policy als je machines in een domein zitten. Eventueel kan je lokale policy zetten indien de machine niet lid is van een domein. Toch blijft dit heel basic. SCCM geeft heel granulaire controle over de distributie van updates, ook kan je ze dan pushen in plaats van de pull configuratie van WSUS.

Maar als ik vragen mag, waarom die rare oplossing met een WSUS server in je DMZ? Ik zou dan lekker die laptops laten updaten via Microsoft. Scheelt jou een hoop werk. Je hoeft enkel de lokale update client in te stellen welke updates opgehaald moeten worden. Dan ben je klaar.

woensdag 26 april 2017 19:34

Acties:

Beekforel

Is eigenlijk geen vis

Met een beetje PowerShell kun je approven zoals jij wilt, zet dat in een scheduled task en je bent een heel eind.

vrijdag 28 april 2017 09:08

Acties:

_sappie_

Topicstarter

CMD-Snake schreef op woensdag 26 april 2017 @ 19:03:
[...]

Het korte antwoord is niet.

WSUS is een gecentraliseerde manier om de updates aan te bieden. De computers moeten echter zelf hun lokale Windows Update gebruiken om de updates op te halen van je WSUS server.Die lokale Windows Update kan je sturen met group policy als je machines in een domein zitten. Eventueel kan je lokale policy zetten indien de machine niet lid is van een domein. Toch blijft dit heel basic. SCCM geeft heel granulaire controle over de distributie van updates, ook kan je ze dan pushen in plaats van de pull configuratie van WSUS.

Maar als ik vragen mag, waarom die rare oplossing met een WSUS server in je DMZ? Ik zou dan lekker die laptops laten updaten via Microsoft. Scheelt jou een hoop werk. Je hoeft enkel de lokale update client in te stellen welke updates opgehaald moeten worden. Dan ben je klaar.

De reden dat de server in het DMZ staat is dat wij kunnen bepalen welke updates ernaartoe mogen gaan. anders heb je er straks een update tussen zitten die laptops niet meer kan laten verbinden met internet, waardoor ze dan weer niet meer kunnen verbinden met Airwatch MDM

vrijdag 28 april 2017 09:09

Acties:

_sappie_

Topicstarter

Beekforel schreef op woensdag 26 april 2017 @ 19:34:
Met een beetje PowerShell kun je approven zoals jij wilt, zet dat in een scheduled task en je bent een heel eind.

Heeft u dan misschien een voorbeeld of informatie?

vrijdag 28 april 2017 09:12

Acties:

Meekoh

_sappie_ schreef op vrijdag 28 april 2017 @ 09:08:
[...]

De reden dat de server in het DMZ staat is dat wij kunnen bepalen welke updates ernaartoe mogen gaan. anders heb je er straks een update tussen zitten die laptops niet meer kan laten verbinden met internet, waardoor ze dan weer niet meer kunnen verbinden met Airwatch MDM

Je spreekt hier jezelf een beetje tegen. Je wilt Zelf bepalen welke updates approved worden, maar vervolgens wil je automatisch approven?
Nogmaals de installatie van de updates wordt niet door WSUS geregeld maar door de instellingen van de windows update agent op de client (welke je dus met GPO's kunt instellen).

Computer says no

vrijdag 28 april 2017 09:16

Acties:

Beekforel

Is eigenlijk geen vis

_sappie_ schreef op vrijdag 28 april 2017 @ 09:09:
[...]

Heeft u dan misschien een voorbeeld of informatie?

Bijvoorbeeld https://4sysops.com/archi...with-a-powershell-script/

Zijn genoeg voorbeelden te vinden. Even rondzoeken. En vervolgens aanpassen op je eigen situatie.

vrijdag 28 april 2017 09:17

Acties:

_sappie_

Topicstarter

Meekoh schreef op vrijdag 28 april 2017 @ 09:12:
[...]

Je spreekt hier jezelf een beetje tegen. Je wilt Zelf bepalen welke updates approved worden, maar vervolgens wil je automatisch approven?
Nogmaals de installatie van de updates wordt niet door WSUS geregeld maar door de instellingen van de windows update agent op de client (welke je dus met GPO's kunt instellen).

Beide klopt van dat we het willen controleren en automatisch approved. Als er een update rond gaat die de laptop dwars kan zitten dan willen we die voorkomen.
Ik zou het dan mooi vinden dat de updates dan maandelijks naar de laptops komen aldus misschien maandelijks approven of syncen.

vrijdag 28 april 2017 09:19

Acties:

_sappie_

Topicstarter

Beekforel schreef op vrijdag 28 april 2017 @ 09:16:
[...]

Bijvoorbeeld https://4sysops.com/archi...with-a-powershell-script/

Zijn genoeg voorbeelden te vinden. Even rondzoeken. En vervolgens aanpassen op je eigen situatie.

Dankuwel

zal er zo even lekker doorheen neuzen

vrijdag 28 april 2017 09:25

Acties:

Meekoh

_sappie_ schreef op vrijdag 28 april 2017 @ 09:17:
[...]

Beide klopt van dat we het willen controleren en automatisch approved. Als er een update rond gaat die de laptop dwars kan zitten dan willen we die voorkomen.
Ik zou het dan mooi vinden dat de updates dan maandelijks naar de laptops komen aldus misschien maandelijks approven of syncen.

En hoe denk je dat te voorkomen als je alles auto-approved? Je moet nog steeds naar die GPO's gaan kijken, die bepalen wanneer het geinstalleerd wordt. Er kan bijv. rustig een week zitten tussen het approven van een update en het werkelijke installatie moment, it's all in the GPO's.

Computer says no

zaterdag 29 april 2017 12:06

Acties:

CMD-Snake

_sappie_ schreef op vrijdag 28 april 2017 @ 09:08:
De reden dat de server in het DMZ staat is dat wij kunnen bepalen welke updates ernaartoe mogen gaan. anders heb je er straks een update tussen zitten die laptops niet meer kan laten verbinden met internet, waardoor ze dan weer niet meer kunnen verbinden met Airwatch MDM

En hoe vaak is dat voorgekomen?

Dit is strijdig met je opmerking dat de updates automatisch goedgekeurd moeten worden. Je rolt dan alsnog de update meteen uit. Dan kan je net zo goed de Microsoft servers gebruiken.

Je moet de laptops instellen dat ze alleen security updates doen en alle feature updates laten voor wat ze zijn. Indien een security update Airwatch stuk maakt moet je ernstig nadenken over het product en niet de updates.

Pagina: 1

Reageer