В настоящее время сотрудники компании, которые используют корпоративные ноутбуки дома, должны быть подключены через VPN, чтобы Центр обновления Windows не выдавал ошибок, поскольку сервер WSUS предназначен только для внутреннего использования.
Я знаю, что можно сделать WSUS общедоступным; учитывая, что это, по сути, веб-сайт IIS, это относительно просто (и, будем надеяться, он должен работать с нашим брандмауэром, который предлагает обратный прокси).
Однако есть кое-что, в чем я не уверен, и я надеялся, что кто-то сможет их прояснить:
мои ответы по порядку:
1) Я бы сказал, что вы создаете реплику ниже по течению, потому что ее легче перестроить.
2) Я бы все равно использовал реплику, если вы полагаетесь на брандмауэр, чтобы разрешить кому угодно доступ из Интернета к вашему серверу wsus.
3) По моему опыту, репликами легче управлять, я не могу вспомнить, проводил ли я обслуживание на них или только на первичном, извините. Я думаю, это мог быть просто мастер очистки wsus.
4) Не уверен в вашем вопросе о рассылке спама на вашем сервере ложной информацией, опять же, я бы не стал открывать этот сервер в Интернете.
Я бы подумал о том, чтобы остаться с вашим vpn-сервером, чтобы позволить вашим удаленным компьютерам получить доступ к вашему wsus-серверу. Если вы пытаетесь ограничить доступ vpn, особенно к вашей внутренней сети, возможно, в отдельной сети, которая защищена брандмауэром, и вы разрешаете доступ через этот брандмауэр к своему серверу-реплике.
Некоторые решения vpn также предлагают способы разрешить доступ к определенным веб-сайтам, поэтому вы по-прежнему ограничиваете доступ к своему серверу для аутентифицированных пользователей. Я бы, вероятно, предпочел разрешить доступ только к серверу реплик в DMZ.