Discussion:
WSUS für VPN-Clients deaktivieren
(zu alt für eine Antwort)
Nils Wöhler
2007-05-10 08:01:51 UTC
Permalink
Hallo NG,

bei einem Kunden von uns, wählen sich die mobilen Clients per UMTS über VPN
in das Netzwerk ein.

Nun möchte der Kunde, dass die Clients, die per UMTS eingewählt sind,
vom WSUS _keine_ Updates bekommen um Traffickosten zu sparen und die
UMTS-Leitungen nicht unnötig zu belasten.

Kann ich das in irgendeiner Form über Gruppenrichtlinien regeln?
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.
Mark Heitbrink [MVP]
2007-05-10 09:23:02 UTC
Permalink
Hi,
Post by Nils Wöhler
bei einem Kunden von uns, wählen sich die mobilen Clients per UMTS über VPN
in das Netzwerk ein.
Nun möchte der Kunde, dass die Clients, die per UMTS eingewählt sind,
vom WSUS _keine_ Updates bekommen um Traffickosten zu sparen und die
UMTS-Leitungen nicht unnötig zu belasten.
Erstelle fürs VPN ein eigenes IP Subnetz. Definiere dieses als Standort
im AD. Jetzt kannst du GPOs auf der Site (Standort) definieren, in denen
der WUAU abgeschaltet ist.
Die Standortrichtlinien sind IP basierend und "dynamisch", werden
aufgrund der IP übernommen, nicht aufgrund der OU, in der der Client
gespeichert ist.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Helmut Schneider
2007-05-10 18:02:36 UTC
Permalink
Post by Mark Heitbrink [MVP]
Hi,
Post by Nils Wöhler
bei einem Kunden von uns, wählen sich die mobilen Clients per UMTS
über VPN in das Netzwerk ein.
Nun möchte der Kunde, dass die Clients, die per UMTS eingewählt sind,
vom WSUS _keine_ Updates bekommen um Traffickosten zu sparen und die
UMTS-Leitungen nicht unnötig zu belasten.
Erstelle fürs VPN ein eigenes IP Subnetz.
Hm, das funktioniert nur, wenn man dem Client eine IP aus einem Pool zur
Verfügung stellt. Ansonsten kann die IP des Clients aus *vielen*
Adressbereichen kommen.

Aber gibt es nicht eine Richtlinie, den BITS auf eine Mindest-Bandbreite zu
beschränken?

Gruß, Helmut
Norbert Fehlauer [MVP]
2007-05-10 20:40:20 UTC
Permalink
Helmut Schneider wrote:
Hi,
Post by Helmut Schneider
Hm, das funktioniert nur, wenn man dem Client eine IP aus einem Pool
zur Verfügung stellt. Ansonsten kann die IP des Clients aus *vielen*
Adressbereichen kommen.
Nö kann sie nicht wenn du per VPN kommst. ;)
Post by Helmut Schneider
Aber gibt es nicht eine Richtlinie, den BITS auf eine
Mindest-Bandbreite zu beschränken?
Ja aber minimal 10kB.

Bye
Norbert
Helmut Schneider
2007-05-11 10:21:19 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Post by Helmut Schneider
Hm, das funktioniert nur, wenn man dem Client eine IP aus einem Pool
zur Verfügung stellt. Ansonsten kann die IP des Clients aus *vielen*
Adressbereichen kommen.
Nö kann sie nicht wenn du per VPN kommst. ;)
VPN bdeutet nicht zwangsläufig "private network".
Dementsprechend stehen viele meiner Clients mit einer IP aus den Bereichen
85.205.0.0 - 85.205.255.255
90.186.0.0 - 90.187.255.255
hier im WSUS.

Gruß, Helmut
--
Please do not feed my mailbox, Swen still does his job well
Norbert Fehlauer [MVP]
2007-05-12 16:57:56 UTC
Permalink
Helmut Schneider wrote:
Hi,
Post by Helmut Schneider
VPN bdeutet nicht zwangsläufig "private network".
Nicht? Wofür steht das PN denn bei dir? ;)
Post by Helmut Schneider
Dementsprechend stehen viele meiner Clients mit einer IP aus den
Bereichen 85.205.0.0 - 85.205.255.255
90.186.0.0 - 90.187.255.255
hier im WSUS.
Na dann kennst du doch deine IP Bereiche, wo ist denn jetzt nochmal dein
Problem? ;) Was für ein VPN nutzt du denn (rein interessehalber)?

Bye
Norbert
--
Dilbert's words of wisdom #32: If it wasn't for the last minute,
nothing would get done.
Helmut Schneider
2007-05-12 20:10:06 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Hi,
Post by Helmut Schneider
VPN bdeutet nicht zwangsläufig "private network".
Nicht? Wofür steht das PN denn bei dir? ;)
Post by Helmut Schneider
Dementsprechend stehen viele meiner Clients mit einer IP aus den
Bereichen 85.205.0.0 - 85.205.255.255
90.186.0.0 - 90.187.255.255
hier im WSUS.
Na dann kennst du doch deine IP Bereiche, wo ist denn jetzt nochmal dein
Problem? ;)
Genau, ich pflege alle Dial-up-/GSM-/UMTS-Netze der Welt als Standorte in
meinem AD... :)
Post by Norbert Fehlauer [MVP]
Was für ein VPN nutzt du denn (rein interessehalber)?
CheckPoint, ohne Office Mode.
Mark Heitbrink [MVP]
2007-05-14 09:34:57 UTC
Permalink
Moin,
Post by Helmut Schneider
Genau, ich pflege alle Dial-up-/GSM-/UMTS-Netze der Welt als Standorte in
meinem AD... :)
Na gut, dann halt nicht als Standort, sondern als WMI Filter.

Entweder, allem widersprechen was doe WSUS GPO mitbringt, wenn es
ein bestimmtes Subnetz ist, oder nur anwenden, wenn ...

Wäre das eine Idee?

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Helmut Schneider
2007-05-19 00:28:54 UTC
Permalink
Post by Mark Heitbrink [MVP]
Moin,
Post by Helmut Schneider
Genau, ich pflege alle Dial-up-/GSM-/UMTS-Netze der Welt als Standorte
in meinem AD... :)
Na gut, dann halt nicht als Standort, sondern als WMI Filter.
Entweder, allem widersprechen was doe WSUS GPO mitbringt, wenn es
ein bestimmtes Subnetz ist, oder nur anwenden, wenn ...
Wäre das eine Idee?
Durchaus, wobei ich vorher wohl eher den Zugriff auf WSUS via VPN
unterbinden würde.

Gruß, Helmut
Mark Heitbrink [MVP]
2007-05-19 19:09:59 UTC
Permalink
Hi,
[WMI Filter]
Durchaus, wobei ich vorher wohl eher den Zugriff auf WSUS via VPN
unterbinden würde.
Beispiel:
SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPSubnet='192.168.1'
oder
SELECT * FROM Win32_NetworkAdapterConfiguration WHERE NOT IPSubnet='192.168.1'

Mach was draus :-)

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Helmut Schneider
2007-05-23 12:21:00 UTC
Permalink
Post by Mark Heitbrink [MVP]
[WMI Filter]
Durchaus, wobei ich vorher wohl eher den Zugriff auf WSUS via VPN
unterbinden würde.
SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPSubnet='192.168.1'
oder
SELECT * FROM Win32_NetworkAdapterConfiguration WHERE NOT
IPSubnet='192.168.1' Mach was draus :-)
Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients Zugriff im
IIS auf /Content zu geben.
--
Please do not feed my mailbox, Swen still does his job well
Norbert Fehlauer [MVP]
2007-05-23 13:05:49 UTC
Permalink
Helmut Schneider wrote:
Hi,
Post by Helmut Schneider
Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients
Zugriff im IIS auf /Content zu geben.
Ich denke du denkst falsch ;)

Bye
Norbert
Helmut Schneider
2007-05-23 15:01:13 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Hi,
Post by Helmut Schneider
Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients
Zugriff im IIS auf /Content zu geben.
Ich denke du denkst falsch ;)
Warum?
--
Please do not feed my mailbox, Swen still does his job well
Norbert Fehlauer [MVP]
2007-05-23 16:25:51 UTC
Permalink
Helmut Schneider wrote:
Hi,
Post by Norbert Fehlauer [MVP]
Post by Helmut Schneider
Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients
Zugriff im IIS auf /Content zu geben.
Ich denke du denkst falsch ;)
Weil du das dann statt mittels WMI Abfrage, wie von Mark dargestellt, mit
eigener Gruppenabbildung realisieren mußt. Und das ist in diesem Fall
unhandlicher, da ziemlich statisch.

Bye
Norbert
Helmut Schneider
2007-05-23 17:35:45 UTC
Permalink
Post by Norbert Fehlauer [MVP]
Hi,
Post by Norbert Fehlauer [MVP]
Post by Helmut Schneider
Wie gesagt, ich denke, es wäre einfacher, nur bestimmten Clients
Zugriff im IIS auf /Content zu geben.
Ich denke du denkst falsch ;)
Weil du das dann statt mittels WMI Abfrage, wie von Mark dargestellt, mit
eigener Gruppenabbildung realisieren mußt. Und das ist in diesem Fall
unhandlicher, da ziemlich statisch.
Ersetze "bestimmte Clients" durch "bestimmte IPs", besser? Damit können die
Clients (IPs) zwar ihren Status reporten, aber nichts runterladen.

Ich finde die Lösung von Mark ja auch schön, aber habe z.B. mehrere
(Sub-)Domains und auch Clients, die nicht Mitglied einer Domain sind, bei
denen die Einstellungen via REG-Import gesetzt werden.

Oder steh ich grad auf'm Schlauch? Übersehe ich etwas?
Norbert Fehlauer [MVP]
2007-05-23 18:53:52 UTC
Permalink
Dieser beitrag ist möglicherweise unangemessen. Klicken sie auf, um es anzuzeigen.
Helmut Schneider
2007-05-23 21:37:21 UTC
Permalink
n'Abend,
Post by Norbert Fehlauer [MVP]
Hi,
Post by Helmut Schneider
Ersetze "bestimmte Clients" durch "bestimmte IPs", besser?
Wie würdest du das denn blocken? Per Firewall oder wie?
Nicht blocken, im IIS den Zugriff auf /Content nur für bestimmte Netze
erlauben.
Post by Norbert Fehlauer [MVP]
Post by Helmut Schneider
Damit
können die Clients (IPs) zwar ihren Status reporten, aber nichts
runterladen.
Das geht aber einfacher ;)
Post by Helmut Schneider
Ich finde die Lösung von Mark ja auch schön, aber habe z.B. mehrere
(Sub-)Domains
Und?
Ich müsste den WMI-Filter für viele Domains/GPOs konfigurieren.
Post by Norbert Fehlauer [MVP]
Post by Helmut Schneider
und auch Clients, die nicht Mitglied einer Domain sind,
bei denen die Einstellungen via REG-Import gesetzt werden.
Dann gib denen eine Gruppe auf dem WSUS die keine Installationen
bewilligt hat.
Na, dann installieren sie aber gar nicht, ist doch auch blöd. :)
Ich (OP) will ja nur, dass nichts installiert wird, solange die Clients
"auswärts" sind. Und den IIS sähe ich hier als SPoC (single point of
configuration).
Norbert Fehlauer [MVP]
2007-05-24 08:09:05 UTC
Permalink
Post by Helmut Schneider
n'Abend,
Moins,
Post by Helmut Schneider
Nicht blocken, im IIS den Zugriff auf /Content nur für bestimmte Netze
erlauben.
Ah ok. Dann versuch das. Kannst ja hier berichten.


Bye
Norbert
Nils Wöhler
2007-05-24 14:00:23 UTC
Permalink
Ich schalte mich hier auch mal wieder ein :)

Ich denke auch, dass der IIS die einfachste und zentralste Anlaufstelle
dafür ist. Zumal das ganze relativ einfach zu bewerkstelligen ist.

Die VPN-Clients laufen bei mir in einem eigenen Netz. Bsp:

192.168.5.0/24 = intern
192.168.6.0/24 = vpn-clients

Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus und schon haben
die Clients, die gerade unterwegs sind ruhe vor Updates.
Post by Norbert Fehlauer [MVP]
Post by Helmut Schneider
n'Abend,
Moins,
Post by Helmut Schneider
Nicht blocken, im IIS den Zugriff auf /Content nur für bestimmte Netze
erlauben.
Ah ok. Dann versuch das. Kannst ja hier berichten.
Bye
Norbert
Helmut Schneider
2007-05-24 15:05:43 UTC
Permalink
Post by Nils Wöhler
Ich schalte mich hier auch mal wieder ein :)
Ich denke auch, dass der IIS die einfachste und zentralste Anlaufstelle
dafür ist. Zumal das ganze relativ einfach zu bewerkstelligen ist.
192.168.5.0/24 = intern
192.168.6.0/24 = vpn-clients
Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus und schon
haben die Clients, die gerade unterwegs sind ruhe vor Updates.
Also, ich teste noch (bis jetzt sieht es gut aus), aber wenn überhaupt, dann
nur für /Content. Reporten sollen die Clients ja noch, nur nichts herunter
laden...
--
Please do not feed my mailbox, Swen still does his job well
Helmut Schneider
2007-06-13 12:18:37 UTC
Permalink
Post by Helmut Schneider
Post by Nils Wöhler
Ich schalte mich hier auch mal wieder ein :)
Ich denke auch, dass der IIS die einfachste und zentralste Anlaufstelle
dafür ist. Zumal das ganze relativ einfach zu bewerkstelligen ist.
192.168.5.0/24 = intern
192.168.6.0/24 = vpn-clients
Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus und schon
haben die Clients, die gerade unterwegs sind ruhe vor Updates.
Also, ich teste noch (bis jetzt sieht es gut aus), aber wenn überhaupt,
dann nur für /Content. Reporten sollen die Clients ja noch, nur nichts
herunter laden...
So als Nachtrag, funktioniert einwandfrei.
--
Please do not feed my mailbox, Swen still does his job well
Nils Wöhler
2007-06-13 14:42:37 UTC
Permalink
Wunderbar :)
Post by Helmut Schneider
Post by Helmut Schneider
Post by Nils Wöhler
Ich schalte mich hier auch mal wieder ein :)
Ich denke auch, dass der IIS die einfachste und zentralste Anlaufstelle
dafür ist. Zumal das ganze relativ einfach zu bewerkstelligen ist.
192.168.5.0/24 = intern
192.168.6.0/24 = vpn-clients
Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus und schon
haben die Clients, die gerade unterwegs sind ruhe vor Updates.
Also, ich teste noch (bis jetzt sieht es gut aus), aber wenn überhaupt,
dann nur für /Content. Reporten sollen die Clients ja noch, nur nichts
herunter laden...
So als Nachtrag, funktioniert einwandfrei.
--
Please do not feed my mailbox, Swen still does his job well
Mark Heitbrink [MVP]
2007-06-15 20:01:06 UTC
Permalink
Hi,
Post by Helmut Schneider
Also sperre ich im IIS einfach das 192.168.6.0/24 Netz aus [...]
So als Nachtrag, funktioniert einwandfrei.
Cool und so schön trivial im Gegensatz zu allen anderen Lösungen :-)

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Helmut Schneider
2007-06-18 14:09:18 UTC
Permalink
Dieser beitrag ist möglicherweise unangemessen. Klicken sie auf, um es anzuzeigen.
Mark Heitbrink [MVP]
2007-06-21 20:31:10 UTC
Permalink
Hi,
Post by Helmut Schneider
Verarscht Du mich/uns?! :)
Sicherlich nicht. Ich finde es mal wieder geil, wie man über den Weg der
Gruppenrichtlinien und Newsgroups auf eine coole Lösung kommt, die
garnichts mit dem ersten Thema zu tun hatte und sicherlich die einfachere
der Lösungen ist.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Helmut Schneider
2007-06-22 08:19:44 UTC
Permalink
Post by Mark Heitbrink [MVP]
Post by Helmut Schneider
Verarscht Du mich/uns?! :)
Sicherlich nicht. Ich finde es mal wieder geil, wie man über den Weg der
Gruppenrichtlinien und Newsgroups auf eine coole Lösung kommt, die
garnichts mit dem ersten Thema zu tun hatte und sicherlich die einfachere
der Lösungen ist.
Achso, na dann! :)
--
Please do not feed my mailbox, Swen still does his job well
Nils Wöhler
2007-06-27 07:09:27 UTC
Permalink
Naja, eigentlich wollte ich das ja auch über die Gruppenrichtlinien machen.
Dann hätte ich alle Daten irgendwie zentral administrierbar.

Leider fand ich den weg über die Gruppenrichtlinien einfach viel viel viel
zu umständlich.
Die Einrichtung hätte sicherlich einiges mehr an Zeit gekostet als das
einfache aussperren der Clients.
Post by Helmut Schneider
Post by Mark Heitbrink [MVP]
Post by Helmut Schneider
Verarscht Du mich/uns?! :)
Sicherlich nicht. Ich finde es mal wieder geil, wie man über den Weg der
Gruppenrichtlinien und Newsgroups auf eine coole Lösung kommt, die
garnichts mit dem ersten Thema zu tun hatte und sicherlich die einfachere
der Lösungen ist.
Achso, na dann! :)
--
Please do not feed my mailbox, Swen still does his job well
Lesen Sie weiter auf narkive:
Loading...