Yerel olduğunda WSUS, uzaktayken MU kullanılsın mı? (Ama yine de WSUS'ye rapor ver)

9

Şu anda masaüstü ve dizüstü bilgisayarlar olmak üzere tüm bilgisayarlar için yapılandırılmış tek dahili WSUS sunucumuz var. WSUS sunucusu yalnızca dahili olarak kullanılabilir (VPN veya LAN). Ağda neredeyse hiç yerinde ve yarı sık VPN olmayan bazı uzak kullanıcılarımız var. VPN üzerinden Windows Güncellemelerini indirmelerini sağlamak yerine aşağıdakileri yapmak istiyorum:

  • İstemciler yerel ağdayken, onaylanan güncelleştirmeleri WSUS sunucusunda kontrol eder ve yerel WSUS sunucumuzdan indirir.
  • İstemciler uzakken, WSUS sunucusuna giriş yapar ve WSUS sunucusu hangi güncelleştirmelerin karşıdan yükleneceğini belirler, ancak doğrudan Microsoft'tan indirir.

Okuduğum kadarıyla, bu istemcileri söyler ikincil WSUS sunucusuna sahip muhtemelen mümkündür Microsoft Yükleme ve kullanan DNS ağ maskesini sipariş kişiye hangi WSUS sunucusu istemcileri anlatmak için; bunu tek bir WSUS sunucusuyla yapmanın bir yolu var mı? Tüm uzak istemciler Windows 7 SP1, WSUS Server 2008 R2 SP1'de v3'tür. VPN hizmetleri için Microsoft RRAS kullanma (IKEv2 / SSTP / L2TP / PPTP).

windows  wsus 
Dan
kaynak

Yanıtlar:

4

Buna inanmıyorum, ancak bir çözüm ağınıza yakalanan bir proxy sunucusu uygulamaktır. Bu, WSUS sunucusunu istemcilere Microsoft'tan indirme talimatı verecek şekilde yapılandırabileceğiniz, ancak yine de içeriği ağınızdaki makineler için yerel olarak önbelleğe alabileceğiniz anlamına gelir. (Ek bir bonus olarak, güncellemeler yalnızca gerçekten gerekliyse indirilir, böylece neyi onayladığınız konusunda daha az seçici olabilirsiniz.)

Bunun bir varyasyonu, masaüstü makinelerinizdeki WinHTTP'yi bir proxy sunucusu kullanacak şekilde yapılandırmaktır, ancak bu, sitede bulunan dizüstü bilgisayarların Microsoft'tan hala indirileceği anlamına gelir. Prensip olarak, makinenin geçerli konumunu algılayan ve WinHTTP'yi gerektiği gibi yeniden yapılandıran bir yazılım yazabilirsiniz.

Harry Johnston
kaynak
İlginç bir çözüm olsa da, LAN'ımızda yakalama proxy'sini uygulamak için acı çekecek birçok alt ağa / siteye / alana sahibiz. Ayrıca bu hala ek bir sunucu gerektirir, bu yüzden çift WSUS yoluna da gidebiliriz.
Dan
4

Ana sunucunun bir kopyası olarak, kendisine bildiren herhangi bir istemcinin güncelleştirmelerini doğrudan Microsoft'tan indirmesi (indirmeleri yerel olarak önbelleğe almak yerine) ile ikinci bir WSUS sunucusu oluşturduk. Büyük olasılıkla tüm uzak istemcilerimizin herhangi bir DNS çözümü kullanmak yerine bu yeni WSUS sunucusuna rapor vermesi için bir GPO kullanacağız; Zamanın% 99'u ofis dışında oldukları için uzun vadede daha basittir.

Dan
kaynak
0

Aslında bunun WSUS çalışmaları fikri olduğunu düşünmüyorum. WSUS'deki güncelleştirmeleri onaylayabileceğiniz / reddedebileceğiniz için, tesis dışındaki kullanıcılar politikanızdan etkilenmez.

Belki MS Intune bunun için bir çözümdür: Microsoft'tan indirin, ancak hala kontrol sizde.

AndreasM
kaynak
1
İstemcilerin hangi güncelleştirmeleri alacağına karar vermek için güncelleştirmeleri onayladığınız / reddettiğiniz bir modda WSUS işlevine sahip olabilirsiniz, ancak istemciler doğrudan Microsoft'tan indirir. Uzak istemciler sadece bunu yapan bir WSUS sunucusuna işaret edebilir ve daha sonra yerel istemciler geleneksel WSUS sunucusunu işaret edebilir. Yapmak istediğim, bunların ikisinin de bir araya getirilmiş olması, ancak bunun mümkün olduğundan emin değilim :(
Dan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.