В настоящее время я разрабатываю новую среду WSUS, в которой мы хотим иметь многоуровневые утверждения.
Мы хотим иметь WSUS верхнего уровня, на котором группа безопасности утверждает обновления, которые затем синхронизируются с подчиненными серверами WSUS для каждой группы (инфраструктура, разработка и т. Д.), Чтобы затем утверждать / отклонять их собственное подмножество.
Проблема в том, что в автономном режиме нижестоящий сервер синхронизирует все исправления из восходящего потока независимо от утверждения. В режиме реплики мы потеряем возможность давать каждой команде возможность отклонять любые обновления, которые, по их мнению, могут иметь неблагоприятный эффект.
Я ищу нечто среднее. У кого-нибудь есть такая установка или знает, как этого можно достичь?
Есть два основных варианта, каждый из которых предлагает «более простой» и «более сложный» способ достижения цели в зависимости от ваших требований и сетевой среды.
Этот вариант зависит от того, что ваш вышестоящий сервер (USS) настроен так, чтобы не загружать контент, пока обновления не будут одобрены. Последующий сервер (DSS) синхронизируется с USS в обычном режиме и получает метаданные о доступных обновлениях. Это позволяет клиентам сканировать и определять, применимы ли обновления. Администраторы в DSS могут видеть необходимые обновления и могут утверждать обновления до или после того, как обновления будут утверждены в USS. Однако до тех пор, пока USS не одобрит обновления, контент будет недоступен, и клиенты не смогут их установить.
Альтернативой этому подходу является рассмотрение этого как сценария воздушного зазора и периодический экспорт метаданных и двоичного содержимого родительского экземпляра WSUS и их импорт в автономный экземпляр для конечного пункта назначения. Обновления импортируются без утверждения, поэтому филиал может принять окончательные решения.
Лучший подход для этого - иметь автономный сервер для нижестоящих клиентов. На основном сервере WSUS оцениваются обновления и отмечаются килобайты для утверждения. Затем сервер WSUS филиала может напрямую импортировать КБ из каталога Центра обновления Windows по номеру КБ.
Сложной для реализации альтернативой этому подходу является синхронизация USS с WU и получение всех метаданных для категорий / классификаций. После того, как вы определите желаемые обновления, утвердите их и убедитесь, что весь контент загружен. Используйте API WSUS для удаления неутвержденных обновлений. Экспортируйте папки DB и WSUSContent, а затем импортируйте их в USS, который не синхронизируется с WU. В этом решении много движущихся частей, и к нему нелегко приступить. Мы сделали это здесь как часть коммерческого решения, и потребовалось время (и несколько человек), чтобы разобраться.