Używać WSUS w trybie lokalnym, MU w trybie zdalnym? (Ale nadal zgłaszaj się do WSUS)

9

Obecnie mamy skonfigurowany nasz pojedynczy wewnętrzny serwer WSUS dla wszystkich komputerów, zarówno stacjonarnych, jak i laptopów. Serwer WSUS jest dostępny tylko wewnętrznie (VPN lub LAN). Mamy niektórych zdalnych użytkowników, którzy prawie nigdy nie są na miejscu, a VPN rzadko w sieci. Zamiast pobierać aktualizacje systemu Windows za pośrednictwem sieci VPN, chciałbym wykonać następujące czynności:

  • Podczas gdy klienci są w sieci lokalnej, sprawdzają zatwierdzone aktualizacje na serwerze WSUS i pobierają je z naszego lokalnego serwera WSUS.
  • Podczas gdy klienci są zdalni, rejestrują się na serwerze WSUS, a serwer WSUS dyktuje, które aktualizacje należy pobrać, ale pobierają je bezpośrednio z firmy Microsoft.

Z tego, co przeczytałem, jest to prawdopodobnie możliwe dzięki dodatkowemu serwerowi WSUS, który każe klientom pobierać od Microsoft i przy użyciu maski sieci DNS, która informuje klientów, z którym serwerem WSUS się skontaktować; czy jest na to sposób z jednym serwerem WSUS? Wszyscy zdalni klienci to Windows 7 SP1, WSUS to v3 na Server 2008 R2 SP1. Wykorzystanie Microsoft RRAS dla usług VPN (IKEv2 / SSTP / L2TP / PPTP).

Dan
źródło

Odpowiedzi:

4

Nie wydaje mi się, żeby tak było, ale jednym z obejść jest wdrożenie przechwytującego serwera proxy w sieci. Oznacza to, że możesz skonfigurować serwer WSUS, aby poinstruować klientów o konieczności pobierania z Microsoft, ale nadal buforuj zawartość lokalnie dla komputerów w sieci. (Jako dodatkowy bonus, aktualizacje będą pobierane tylko wtedy, gdy są rzeczywiście potrzebne, więc możesz być mniej wybiórczy w kwestii tego, co akceptujesz.)

Odmianą tego jest skonfigurowanie WinHTTP na komputerach stacjonarnych do korzystania z serwera proxy, chociaż oznacza to, że laptopy, które są na miejscu, nadal będą pobierać od Microsoft. Zasadniczo możesz napisać oprogramowanie, które wykrywa bieżącą lokalizację komputera i w razie potrzeby konfiguruje WinHTTP.

Harry Johnston
źródło
Chociaż jest to interesujące rozwiązanie, w naszej sieci LAN znajduje się wiele podsieci / witryn / domen, które utrudniają przechwycenie proxy. Dodatkowo wymagałoby to dodatkowego serwera, więc równie dobrze moglibyśmy przejść podwójną trasę WSUS.
Dan
4

Ostatecznie stworzyliśmy drugi serwer WSUS jako replikę serwera głównego, z tą różnicą, że klienci zgłaszający się do niego pobierają swoje aktualizacje bezpośrednio z firmy Microsoft (zamiast buforować pobrane pliki lokalnie). Najprawdopodobniej użyjemy GPO dla wszystkich naszych zdalnych klientów, aby zgłosić się do tego nowego serwera WSUS, zamiast używać jakichkolwiek rozwiązań DNS; 99% czasu spędzają poza biurem, więc na dłuższą metę jest to po prostu prostsze.

Dan
źródło
0

Właściwie nie sądzę, że taki jest pomysł na WSUS. Ponieważ możesz zatwierdzać / odrzucać aktualizacje w programie WSUS, Twoje zasady nie będą miały wpływu na użytkowników zewnętrznych.

Być może MS Intune jest rozwiązaniem: Pobierz z Microsoft, ale nadal masz kontrolę.

AndreasM
źródło
1
Możesz mieć funkcję WSUS w trybie, w którym zatwierdzasz / odrzucasz aktualizacje, aby zdecydować, które aktualizacje otrzymują klienci, ale klienci pobierają bezpośrednio z Microsoft. Mógłbym mieć zdalnych klientów wskazujących na serwer WSUS, który właśnie to robi, a następnie klienci lokalni wskazują na tradycyjny serwer WSUS. To, co chcę zrobić, to połączyć oba w jedno, ale nie jestem pewien, czy to możliwe :(
Dan.