Назад | Перейти на главную страницу

Использовать WSUS в локальном режиме, MU в удаленном режиме? (Но все же сообщите в WSUS)

В настоящее время у нас есть наш единственный внутренний сервер WSUS, настроенный для всех компьютеров, как настольных, так и портативных. Сервер WSUS доступен только для внутреннего использования (VPN или LAN). У нас есть несколько удаленных пользователей, которые почти никогда не бывают на месте и частично используют VPN в сети. Вместо того, чтобы заставлять их загружать обновления Windows через VPN, я хотел бы сделать следующее:

Пока клиенты находятся в локальной сети, они проверяют сервер WSUS на наличие утвержденных обновлений и загружают их с нашего локального сервера WSUS.
Пока клиенты являются удаленными, они регистрируются на сервере WSUS, и сервер WSUS определяет, какие обновления загружать, но они загружают их прямо из Microsoft.

Из того, что я читал, это, вероятно, возможно при наличии вторичного сервера WSUS, который сообщает клиентам скачать из Microsoft и использование порядка маски сети DNS сообщить клиентам, с каким сервером WSUS следует связаться; есть ли способ сделать это с помощью одного сервера WSUS? Все удаленные клиенты - это Windows 7 SP1, WSUS - v3 на Server 2008 R2 SP1. Использование Microsoft RRAS для служб VPN (IKEv2 / SSTP / L2TP / PPTP).

windows wsus

В итоге мы создали второй сервер WSUS в качестве реплики основного сервера с той разницей, что все клиенты, отправляющие отчеты, загружают свои обновления непосредственно из Microsoft (вместо того, чтобы кэшировать загрузки локально). Скорее всего, мы просто будем использовать GPO для всех наших удаленных клиентов, чтобы отправлять отчеты этому новому серверу WSUS, вместо использования каких-либо решений DNS; 99% времени они находятся вне офиса, так что в долгосрочной перспективе это просто проще.

Я в это не верю, но одним из способов решения этой проблемы является установка в вашей сети перехватывающего прокси-сервера. Это означает, что вы можете настроить сервер WSUS так, чтобы клиенты загружали его из Microsoft, но при этом содержимое кэшируется локально для компьютеров в вашей сети. (В качестве дополнительного бонуса обновления будут загружаться только в том случае, если они действительно необходимы, поэтому вы можете менее избирательно подходить к тому, что одобряете.)

Вариант этого - настроить WinHTTP на настольных компьютерах для использования прокси-сервера, хотя это означает, что ноутбуки, находящиеся на месте, по-прежнему будут загружаться с Microsoft. В принципе, вы могли бы написать какое-нибудь программное обеспечение, которое определяет текущее местоположение машины и при необходимости перенастраивает WinHTTP.

На самом деле я не думаю, что это идея работы WSUS. Поскольку вы можете утверждать / отклонять обновления в WSUS, ваша политика не повлияет на удаленных пользователей.

Возможно, MS Intune - это решение: загрузите с Microsoft, но вы все еще контролируете ситуацию.