Utilizzare WSUS in locale, MU in remoto? (Ma riferisci ancora a WSUS)

9

Al momento abbiamo il nostro singolo server WSUS interno configurato per tutti i computer, sia desktop che portatili. Il server WSUS è disponibile solo internamente (VPN o LAN). Abbiamo alcuni utenti remoti che non sono quasi mai sul posto e semi-frequentemente VPN nella rete. Invece di far scaricare loro gli aggiornamenti di Windows attraverso la VPN, vorrei realizzare quanto segue:

  • Mentre i client si trovano sulla rete locale, controllano il server WSUS per gli aggiornamenti approvati e li scaricano dal nostro server WSUS locale.
  • Mentre i client sono remoti, accedono al server WSUS e il server WSUS determina gli aggiornamenti da scaricare, ma li scarica direttamente da Microsoft.

Da quello che ho letto, questo è probabilmente possibile avendo un server WSUS secondario che dice ai client di scaricare da Microsoft e usando la maschera di rete DNS per dire ai client quale server WSUS contattare; c'è un modo per farlo con un singolo server WSUS? Tutti i client remoti sono Windows 7 SP1, WSUS è v3 su Server 2008 R2 SP1. Utilizzo di Microsoft RRAS per servizi VPN (IKEv2 / SSTP / L2TP / PPTP).

windows  wsus 
Dan
fonte

Risposte:

4

Non credo, ma una soluzione alternativa è quella di implementare un server proxy intercettante sulla tua rete. Ciò significa che è possibile configurare il server WSUS per indicare ai client di effettuare il download da Microsoft, ma comunque memorizzare nella cache il contenuto in locale per i computer della rete. (Come bonus aggiuntivo, gli aggiornamenti verranno scaricati solo se sono effettivamente necessari, quindi puoi essere meno selettivo su ciò che approvi.)

Una variante di ciò consiste nel configurare WinHTTP sui computer desktop in modo che utilizzi un server proxy, sebbene ciò significhi che i laptop in loco verranno comunque scaricati da Microsoft. In linea di principio è possibile scrivere alcuni software che rilevano la posizione corrente della macchina e riconfigurano WinHTTP, se necessario.

Harry Johnston
fonte
Sebbene sia una soluzione interessante, abbiamo molte sottoreti / siti / domini nella nostra LAN che renderebbe difficile implementare un proxy intercettante. Inoltre, ciò richiederebbe comunque un server aggiuntivo, quindi potremmo anche seguire la doppia route WSUS.
Dan,
4

Abbiamo finito per creare un secondo server WSUS come replica del server principale con l'unica differenza che tutti i client che lo segnalano scaricano i loro aggiornamenti direttamente da Microsoft (invece di memorizzarli nella cache localmente). Molto probabilmente utilizzeremo un oggetto Criteri di gruppo per tutti i nostri client remoti per segnalare a questo nuovo server WSUS invece di utilizzare qualsiasi soluzione DNS; Il 99% delle volte sono fuori dall'ufficio, quindi a lungo andare è più semplice.

Dan
fonte
0

In realtà non penso che questa sia l'idea delle opere di WSUS. Poiché è possibile approvare / rifiutare gli aggiornamenti in WSUS, gli utenti esterni non saranno interessati dalla politica.

Forse MS Intune è la soluzione per questo: scarica da Microsoft, ma hai ancora il controllo.

AndreasM
fonte
1
È possibile avere la funzione WSUS in una modalità in cui approvare / rifiutare gli aggiornamenti per decidere quali aggiornamenti ricevono i client, ma i client vengono scaricati direttamente da Microsoft. Potrei avere client remoti che puntano a un server WSUS che fa proprio questo e quindi i client locali puntano al server WSUS tradizionale. Quello che sto cercando di fare è avere entrambi questi in uno, ma non sono sicuro che sia possibile :(
Dan
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.