.LNX-WORLD

Der Shrew VPN Client ist genau die Lösung die ich gestern gesucht habe. Mit einem leichtem Schock habe ich bemerkt, das ich mit meinem “altem” Cisco VPN Client und meinem Windows 7 64Bit keine VPN Verbindung aufbauen kann, Cisco unterstützt bei diesem VPN Client auch kein Windows 7 64Bit, nur die x32 Version.

Nach kurzer Suche im Web, ob es nicht evtl. doch eine andere Lösung gibt als ins Büro zu fahren, stieß ich auf den VPN Client von Shrew. Der VPN Client ist kostenlos, kann die Cisco VPN PCF Dateien importieren und funktioniert tadellos auf Windows 7 64Bit, Windows 7 32Bit, Windows XP sowie auf Ubuntu 8.04 LTS (soweit ich es getestet habe).

Shrew Soft VPN Client unter Windows 7

Unter Windows 7 64Bit habe ich über 8 Stunden eine durchgängige VPN Sitzung durchgeführt, ohne irgendein Problem. Eine echte Empfehlung!

Weblinks:

• http://www.shrew.net/

Um über einen WSUS Windows Updates zu verteilen, kann man die nötigen Einstellungen über einen Registry Schlüssel verteilen. Alternativ funktioniert dies auch über GPO´s – jedoch stehen diese gerade in Domänen mit Linux basierten Domänencontrollern nicht zur Verfügung. Was man alles über diesen Registry Schlüssel einstellen kann, sei nachstehend erklärt:
Der Registry Schlüssel:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000002
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Clients"
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://WSUS-SERVER"
"WUStatusServer"="http://WSUS-SERVER"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"AUOptions" =dword:00000004
"AutoInstallMinorUpdates" =dword:00000001
"IncludeRecommendedUpdates" =dword:00000001
"DetectionFrequency" ==dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000001
"NoAutoUpdate"=dword:00000000
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeout" =dword:00001440
"RebootRelaunchTimeoutEnabled" =dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:00000030
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000030
"ScheduledInstallDay"=dword:00000003
"ScheduledInstallTime"=dword:00000010
"UseWUServer"=dword:00000001
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000001

Erklärung der einzelnen Schlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Start DWORD 1 (Aktiviere den Windows Dienst “Automatische Updates” und setzte ihn auf “Automatisch”)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate

TargetGroupEnabled DWORD 1 (Automatisch den PC einer WSUS Gruppe hinzufügen)
TargetGroup STRING Clients (Gruppe HAAR für obige Einstellung vorgeben)
ElevateNonAdmins DWORD 1 (Auch Nichtadministratoren über neue Updates informieren)
WUServer STRING http://WSUS-SERVER (Pfad zum WSUS Server)
WUStatusServer STRING http://WSUS-SERVER (Pfad zum WSUS Server)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU

AUOptions DWORD 4 (Installiere Updates automatisch nach Zeitplan)
AutoInstallMinorUpdates DWORD 1 (Installiere kleinere Updates (kein reboot) sofort)
DetectionFrequency DWORD 1 (suche ein mal pro Stunde nach neuen Updates)
DetectionFrequencyEnabled DWORD 1 (aktiviere automatische Suche nach Updates)
NoAutoRebootWithLoggedOnUsers DWORD 1 (Kein automatischer Reboot wenn User eingeloggt sind, dann nachfragen)
NoAutoUpdate DWORD 0 (AutoUpdate aktivieren)
RebootRelaunchTimeout DWORD 1440 (Nach der Frage nach Reboot 24 Stunden warten bis zur nächsten Anfrage)
RebootRelaunchTimeoutEnabled DWORD 1 (Obige Einstellung überhaupt erst aktivieren)
RebootWarningTimeout DWORD 30 (zur Sicherheit 30min warten bis sich der User entschieden hat ob er rebooten möchte oder nicht)
RebootWarningTimeoutEnabled DWORD 1 (umgehe auto 5 min Reboot Warnung mit obiger Einstellung)
RescheduleWaitTime DWORD 30 (nach 30min verpasste Updates erneut installen (versuchen))
RescheduleWaitTimeEnabled DWORD 1 (aktiviere obige Einstellung)
ScheduledInstallDate DWORD 3 (jeden Dienstag Patchtag)
ScheduledInstallTime DWORD 10 (jeden Tag um 9 Uhr – 0-23 Uhr sind Values)
UseWUServer DWORD 1 (WUServer überhaupt erst verwenden)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate

DisableWindowsUpdateAccess DWORD 1 (Untersage Änderungen an den Updateeinstellungen)

Fehler, Hinweise und Ergänzungen gern jederzeit an mich. Ich bemühe mich immer alles Richtig aufzuschreiben, aber manchmal schleicht sich der Fehlerteufel auch hier ein…

Wer schneller seine Updates von WSUS Server beziehen möchte, sollte sich folgendes Script ansehen:

1
2
3
4
5
6
7
8
9
10
11

; Sicherheitshalber den WSUS per Registry einmal eintragen
; Schritt 1:
; Setzen des WSUS Eintrages in die Registry
SHELL "regedit /s \\wsus-server\ClientReg\WSUS_Client.reg"
; Schritt 2:
; Schnelles Reporten an den WSUS Server initialisieren...
SHELL "wuauclt.exe /reportnow"
; Schritt 3:
; WSUS sofort nach Updates zum aktuellem Client befragen und
; diese sofort beziehen / downloaden...
SHELL "wuauclt.exe /detectnow"

Ich setze hier im Script zu allererst den Registriereintrag für den WSUS Server, das ist mir immer allemal lieber, als mich auf Cookies oder ähnliches zu verlassen.

Anschließend wird sofort ein Reporting an den WSUS Server ausgelöst, statt dies der “Willkür” des Clients zu überlassen, der aktuelle Patchstand des Clients wird also adhoc gesammelt und an den WSUS übertragen.

Im drittem Schritt wird geschaut, ob der WSUS Server Updates für den Client hat – und diese werden dann auch entsprechend der Richtlinien sofort geladen und installiert.

Das Script hat sich in der Praxis sehr bewährt, vor allem wenn viele Notebookbenutzer in der Domäne sind, welche ur ab und zu mal im Büro vorbeikommen und somit relativ schnell die Updates auf ihren Rechnern brauchen. Verbesserungsvorschläge sind natürlich immer willkommen!