Использовать WSUS когда локально, MU когда удаленно? (Но все же отчитаться перед WSUS)

9

В настоящее время наш единый внутренний сервер WSUS настроен для всех компьютеров, как настольных, так и портативных. Сервер WSUS доступен только для внутреннего использования (VPN или LAN). У нас есть несколько удаленных пользователей, которые почти никогда не бывают на месте и редко пользуются VPN в сети. Вместо того, чтобы они загружали обновления Windows через VPN, я хотел бы выполнить следующее:

  • Пока клиенты находятся в локальной сети, они проверяют одобренные обновления на сервере WSUS и загружают их с нашего локального сервера WSUS.
  • Пока клиенты являются удаленными, они регистрируются на сервере WSUS, а сервер WSUS определяет, какие обновления загружать, но загружает их прямо из Microsoft.

Из того, что я прочитал, это, вероятно, возможно благодаря наличию вторичного сервера WSUS, который сообщает клиентам о необходимости загрузки из Microsoft, и использованию маски подсети DNS, указывающей клиентам, с каким сервером WSUS следует связаться; Есть ли способ сделать это с одним сервером WSUS? Все удаленные клиенты - Windows 7 SP1, WSUS - v3 на Server 2008 R2 SP1. Использование Microsoft RRAS для сервисов VPN (IKEv2 / SSTP / L2TP / PPTP).

windows wsus Дэн
источник

Ответы:

4

Я не верю в это, но один из обходных путей - внедрить перехватывающий прокси-сервер в вашей сети. Это означает, что вы можете настроить сервер WSUS для инструктирования клиентов о загрузке из Microsoft, но при этом кэшировать содержимое локально для компьютеров в вашей сети. (В качестве дополнительного бонуса обновления будут загружаться только в том случае, если они действительно необходимы, поэтому вы можете быть менее избирательными в отношении того, что вы одобряете.)

Разновидностью этого является настройка WinHTTP на ваших настольных компьютерах для использования прокси-сервера, хотя это означает, что ноутбуки, которые находятся на месте, все равно будут загружаться из Microsoft. В принципе, вы можете написать какое-нибудь программное обеспечение, которое определяет текущее местоположение машины и при необходимости переконфигурирует WinHTTP.

Гарри Джонстон
источник
В то время как интересное решение, у нас есть много подсетей / сайтов / доменов в нашей локальной сети, что сделало бы перехватывающий прокси боль в реализации. Кроме того, для этого все еще потребуется дополнительный сервер, поэтому мы могли бы пойти по двойному маршруту WSUS.
Дан
4

Мы закончили тем, что создали второй WSUS-сервер в качестве копии основного сервера, с той лишь разницей, что все клиенты, сообщающие ему, загружают свои обновления непосредственно из Microsoft (вместо того, чтобы кэшировать загрузки локально). Скорее всего, мы просто будем использовать объект групповой политики для всех наших удаленных клиентов, чтобы сообщать об этом новом сервере WSUS вместо использования каких-либо решений DNS; 99% времени они находятся вне офиса, так что в конечном итоге это будет проще.

Дэн
источник
0

На самом деле я не думаю, что это идея WSUS. Поскольку вы можете утверждать / отклонять обновления в WSUS, ваша политика не повлияет на сторонних пользователей.

Может быть, MS Intune является решением для этого: Загрузите с Microsoft, но вы все еще под контролем.

AndreasM
источник
1
Вы можете использовать функцию WSUS в режиме, в котором вы одобряете / отклоняете обновления, чтобы решить, какие обновления получают клиенты, но клиенты загружают их непосредственно из Microsoft. Я мог бы сделать так, чтобы удаленные клиенты указывали на сервер WSUS, который делает именно это, а затем локальные клиенты указывали на традиционный сервер WSUS. То, что я собираюсь сделать, это объединить оба этих документа в одно, но я не уверен, что это возможно :(
Дан