Obecnie mamy skonfigurowany nasz pojedynczy wewnętrzny serwer WSUS dla wszystkich komputerów, zarówno stacjonarnych, jak i laptopów. Serwer WSUS jest dostępny tylko wewnętrznie (VPN lub LAN). Mamy niektórych zdalnych użytkowników, którzy prawie nigdy nie są na miejscu, a VPN rzadko w sieci. Zamiast pobierać aktualizacje systemu Windows za pośrednictwem sieci VPN, chciałbym wykonać następujące czynności:
- Podczas gdy klienci są w sieci lokalnej, sprawdzają zatwierdzone aktualizacje na serwerze WSUS i pobierają je z naszego lokalnego serwera WSUS.
- Podczas gdy klienci są zdalni, rejestrują się na serwerze WSUS, a serwer WSUS dyktuje, które aktualizacje należy pobrać, ale pobierają je bezpośrednio z firmy Microsoft.
Z tego, co przeczytałem, jest to prawdopodobnie możliwe dzięki dodatkowemu serwerowi WSUS, który każe klientom pobierać od Microsoft i przy użyciu maski sieci DNS, która informuje klientów, z którym serwerem WSUS się skontaktować; czy jest na to sposób z jednym serwerem WSUS? Wszyscy zdalni klienci to Windows 7 SP1, WSUS to v3 na Server 2008 R2 SP1. Wykorzystanie Microsoft RRAS dla usług VPN (IKEv2 / SSTP / L2TP / PPTP).
Ostatecznie stworzyliśmy drugi serwer WSUS jako replikę serwera głównego, z tą różnicą, że klienci zgłaszający się do niego pobierają swoje aktualizacje bezpośrednio z firmy Microsoft (zamiast buforować pobrane pliki lokalnie). Najprawdopodobniej użyjemy GPO dla wszystkich naszych zdalnych klientów, aby zgłosić się do tego nowego serwera WSUS, zamiast używać jakichkolwiek rozwiązań DNS; 99% czasu spędzają poza biurem, więc na dłuższą metę jest to po prostu prostsze.
źródło
Właściwie nie sądzę, że taki jest pomysł na WSUS. Ponieważ możesz zatwierdzać / odrzucać aktualizacje w programie WSUS, Twoje zasady nie będą miały wpływu na użytkowników zewnętrznych.
Być może MS Intune jest rozwiązaniem: Pobierz z Microsoft, ale nadal masz kontrolę.
źródło