Sử dụng WSUS khi cục bộ, MU khi từ xa? (Nhưng vẫn báo cáo với WSUS)

9

Chúng tôi hiện có máy chủ WSUS nội bộ duy nhất được cấu hình cho tất cả các máy tính, cả máy tính để bàn và máy tính xách tay. Máy chủ WSUS chỉ khả dụng trong nội bộ (VPN hoặc LAN). Chúng tôi có một số người dùng từ xa gần như không bao giờ VPN tại chỗ và bán thường xuyên vào mạng. Thay vì yêu cầu họ tải xuống Windows Updates trên VPN, tôi muốn thực hiện như sau:

  • Trong khi các máy khách đang ở trên mạng cục bộ, chúng kiểm tra máy chủ WSUS để biết các bản cập nhật được phê duyệt và tải xuống từ máy chủ WSUS cục bộ của chúng tôi.
  • Trong khi các máy khách ở xa, chúng đăng nhập vào máy chủ WSUS và máy chủ WSUS ra lệnh cập nhật những bản cập nhật nào, nhưng chúng tải chúng trực tiếp từ Microsoft.

Từ những gì tôi đã đọc, điều này có thể có thể bằng cách có một máy chủ WSUS thứ cấp cho khách hàng tải xuống từ Microsoftsử dụng thứ tự netmask DNS để báo cho khách hàng biết máy chủ WSUS nào sẽ liên lạc; có cách nào để làm điều này với một máy chủ WSUS không? Tất cả các máy khách từ xa là Windows 7 SP1, WSUS là v3 trên Server 2008 R2 SP1. Sử dụng Microsoft RRAS cho các dịch vụ VPN (IKEv2 / SSTP / L2TP / PPTP).

windows  wsus 
Dân
nguồn

Câu trả lời:

4

Tôi không tin như vậy, nhưng một cách giải quyết là triển khai máy chủ proxy chặn trên mạng của bạn. Điều này có nghĩa là bạn có thể định cấu hình máy chủ WSUS để hướng dẫn khách hàng tải xuống từ Microsoft, nhưng vẫn lưu trữ nội dung cục bộ cho các máy trên mạng của bạn. (Là một phần thưởng bổ sung, các bản cập nhật sẽ chỉ được tải xuống nếu chúng thực sự cần thiết, do đó bạn có thể ít chọn lọc hơn về những gì bạn phê duyệt.)

Một biến thể của điều này là cấu hình WinHTTP trên máy tính để bàn của bạn để sử dụng máy chủ proxy, mặc dù điều này có nghĩa là máy tính xách tay tại chỗ vẫn sẽ tải xuống từ Microsoft. Về nguyên tắc, bạn có thể viết một số phần mềm phát hiện vị trí hiện tại của máy và cấu hình lại WinHTTP khi cần thiết.

Harry Johnston
nguồn
Mặc dù là một giải pháp thú vị, chúng tôi có nhiều mạng con / trang web / tên miền trong mạng LAN của chúng tôi sẽ khiến cho việc chặn proxy trở thành một vấn đề khó thực hiện. Thêm vào đó, vẫn sẽ yêu cầu một máy chủ bổ sung để chúng tôi có thể đi theo tuyến đường WSUS kép.
Dan
4

Cuối cùng, chúng tôi đã tạo ra một máy chủ WSUS thứ hai như một bản sao của máy chủ chính với một điểm khác biệt là bất kỳ máy khách nào báo cáo với nó tải xuống các bản cập nhật của họ trực tiếp từ Microsoft (thay vì lưu vào bộ nhớ cache tải xuống cục bộ). Chúng tôi rất có thể sẽ chỉ sử dụng GPO cho tất cả các máy khách từ xa của mình để báo cáo cho máy chủ WSUS mới này thay vì sử dụng bất kỳ giải pháp DNS nào; 99% thời gian họ ở bên ngoài văn phòng nên về lâu dài sẽ đơn giản hơn.

Dân
nguồn
0

Thật ra tôi không nghĩ đây là ý tưởng của WSUS hoạt động. Vì bạn có thể phê duyệt / từ chối cập nhật trong WSUS, người dùng ngoại vi sẽ không bị ảnh hưởng bởi chính sách của bạn.

Có thể MS Intune là giải pháp cho việc này: Tải xuống từ Microsoft, nhưng bạn vẫn đang kiểm soát.

AndreasM
nguồn
1
Bạn có thể có chức năng WSUS trong chế độ nơi bạn phê duyệt / từ chối cập nhật để quyết định những cập nhật nào khách hàng nhận được, nhưng khách hàng tải xuống trực tiếp từ Microsoft. Tôi có thể có các máy khách từ xa trỏ đến một máy chủ WSUS chỉ thực hiện điều đó và sau đó các máy khách cục bộ trỏ đến máy chủ WSUS truyền thống. Những gì tôi muốn làm là có cả hai thứ này thành một, nhưng tôi không chắc là nó có thể :(
Dan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.