Використовувати WSUS, коли локальний, MU, коли віддалений? (Але все-таки звітуйте перед WSUS)


9

В даний час у нас є єдиний внутрішній сервер WSUS, налаштований для всіх комп'ютерів, як настільних, так і ноутбуків. Сервер WSUS доступний лише внутрішньо (VPN або LAN). У нас є кілька віддалених користувачів, які майже ніколи не входять у мережу і не часто використовують VPN. Замість того, щоб вони завантажували оновлення Windows через VPN, я хотів би виконати наступне:

  • Поки клієнти перебувають у локальній мережі, вони перевіряють сервер WSUS на наявність затверджених оновлень та завантажують їх з нашого локального сервера WSUS.
  • Хоча клієнти віддалені, вони зареєструються на сервері WSUS і сервер WSUS диктує, які оновлення потрібно завантажити, але вони завантажують їх безпосередньо від Microsoft.

З того, що я прочитав, це, мабуть, можливо, якщо у вас є вторинний сервер WSUS, який повідомляє клієнтам завантажуватися з Microsoft та використовує мережеву маску DNS, щоб замовити клієнтам, до якого WSUS-сервера слід звертатися; чи можна це зробити за допомогою одного сервера WSUS? Усі віддалені клієнти - це Windows 7 SP1, WSUS - v3 на сервері 2008 R2 SP1. Використання Microsoft RRAS для служб VPN (IKEv2 / SSTP / L2TP / PPTP).

Відповіді:


4

Я не вірю в це, але одне вирішення - це впровадити перехоплюючий проксі-сервер у вашу мережу. Це означає, що ви можете налаштувати сервер WSUS, щоб доручити клієнтам завантажувати з Microsoft, але все одно кешувати вміст локально для машин у вашій мережі. (Як додатковий бонус, оновлення завантажуватимуться лише в тому випадку, якщо вони дійсно потрібні, тому ви можете бути менш вибіркові щодо того, що ви схвалюєте.)

Різновидом цього є налаштування WinHTTP на ваших настільних машинах для використання проксі-сервера, хоча це означає, що ноутбуки, які є на місці, все одно завантажуватимуться з Microsoft. В принципі, ви можете написати певне програмне забезпечення, яке визначає поточне місце розташування машини і перенастроює WinHTTP за необхідності.


Незважаючи на цікаве рішення, у нашій локальній мережі є багато підмереж / сайтів / доменів, які могли б зробити перехоплюючий проксі-сервер біль. Плюс до цього ще потрібен додатковий сервер, щоб ми могли також пройти подвійний WSUS маршрут.
День

4

Ми нарешті створили другий сервер WSUS як репліку основного сервера з тією лише різницею, що будь-які клієнти, які звітують про нього, завантажують свої оновлення безпосередньо від Microsoft (замість того, щоб кешувати завантаження локально). Ми, швидше за все, просто використовуватимемо GPO для всіх наших віддалених клієнтів, щоб звітувати перед цим новим сервером WSUS, а не використовувати будь-які рішення DNS; 99% часу вони знаходяться поза офісом, тому це просто простіше у довгостроковій перспективі.


0

Насправді я не думаю, що це ідея роботи WSUS. Оскільки ви можете схвалити / відхилити оновлення в WSUS, на вашої політики не впливатиме користувачів, які перебувають за межами сайту.

Можливо, MS Intune це рішення для цього: Завантажте з Microsoft, але ви все ще контролюєте.


1
Ви можете мати функцію WSUS в режимі, коли ви затверджуєте / відхиляєте оновлення, щоб вирішити, які оновлення отримують клієнти, але клієнти завантажують безпосередньо від Microsoft. Я міг би віддалені клієнти вказувати на сервер WSUS, який робить саме це, а потім місцеві клієнти вказують на традиційний сервер WSUS. Те , що я шукаю , щоб зробити обидва з них в одній особі, але я не впевнений , що це можливо :(
Dan
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.