Назад | Перейти на главную страницу

Запустите WSUS на изолированном сервере

У нас есть тестовая / интеграционная среда (установка) под управлением Windows HyperV с серверными виртуальными машинами внутри нее.

Я хотел бы управлять патчами в установке (хосты Hyper V и виртуальные машины внутри, которые все находятся в собственном домене), но мы не можем подключить установку к Интернету (или даже к нашей корпоративной сети) из-за проблем с безопасностью.

Можно ли загрузить информацию о патче для WSUS (или другой подходящей технологии / приложения) из браузера, а затем вручную загрузить его в систему? Если нет, есть ли у вас рекомендации по управлению исправлениями на сервере, который отключен (и не может ни при каких обстоятельствах быть подключен к Интернету или корпоративной сети)?

В Настройка отключенной сети для получения обновлений Глава документации WSUS описывает официально поддерживаемый способ использования WSUS в отключенной среде. Вам потребуется вторая установка WSUS, которая может загружать обновления с серверов Microsoft.

Сначала вам нужно синхронизировать метаданные на подключенном сервере WSUS; тогда вы должны каким-то образом заставить его загружать файлы обновлений (например, одобряя обновления для какой-то фиктивной группы). После этого вам необходимо экспортировать метаданные с подключенного сервера WSUS:

 wsusutil.exe export packagename.cab logfile.log

Затем перенесите packagename.cab и все в WsusContent папку на отключенный сервер WSUS и импортируйте туда метаданные:

 wsusutil.exe import packagename.cab logfile.log

Подождите, пока WSUS проверит файлы обновлений, затем работайте с ними как обычно (одобряйте обновления и т. Д.).

Основная проблема с этим рабочим процессом заключается в том, что, похоже, нет способа передавать утверждения между отключенным сервером WSUS (где вы можете видеть, какие обновления требуются клиентам) и подключенным сервером WSUS (где вам нужно загружать обновления).

Также см Эта статья, который описывает недавнее обновление для сервера WSUS; это обновление снимает ограничение в 2 ГБ на размер файла экспорта, которое может быть превышено, если вы синхронизируете обновления для большого количества продуктов. Обновление изменяет формат файла экспорта с CAB на gzip XML, который не имеет ограничения в 2 ГБ.

Ваши варианты на данный момент:

Обратите внимание, что сервер WSUS, даже когда он подключен к сети, можно настроить так, чтобы он представлял незначительный риск безопасности для вашего домена. Его можно разместить в DMZ, клиенты не обязательно должны находиться в том же домене, что и сервер WSUS, и подписи обновлений проверяются клиентами против открытых ключей Microsoft, поэтому подделка обновлений должна быть невозможной до тех пор, пока не будут подделаны соответствующие закрытые ключи (что может создать проблему независимо от того, используете ли вы WSUS для установки обновлений или нет). Так что вы мог настройте онлайн-сервер WSUS и настройте фильтры вашей тестовой сети, чтобы разрешить только HTTP / HTTPS-подключения к этому серверу без ущерба для безопасности.

Вы не можете подключить его к "Интернету" из-за неуказанных проблем безопасности, но, конечно, вы можете создать правило брандмауэра, разрешающее только сервер WSUS для подключения только на серверы Центра обновления Майкрософт, после чего следует явное запрещение любого / любого правила. Если ваши коллеги / начальство считают, что против этого есть разумный аргумент, мы хотели бы это услышать.

В принципе, может работать следующее: Создайте сервер WSUS и регулярно

  1. подключите его к локальной сети с доступом к Интернету (или внутреннему восходящему серверу WSUS) и синхронизируйте его.
  2. вниз и отключите его и отнесите в сеть безопасности
  3. подключите его там и позвольте клиентам обновлять и сообщать

У вас может быть значительная задержка с обновлением, потому что может потребоваться несколько перемещений вперед и назад, пока этот мобильный WSUS не узнает, какие из обновлений действительно необходимы и должны быть загружены.

У меня изолированная сеть, и я сталкиваюсь с теми же проблемами. Теперь, когда наш WSUS (Server2008R2 STD) не будет экспортировать \ импортировать файл .cab, потому что он больше 2 ГБ. Нет никакой очистки шахты ... Мне нужно предоставить 9000+ обновлений для секретной изолированной сети ... Я использую VMwarePlayer и создаю виртуальный Server2008R2 WSUS дает ему много места на виртуальном диске 150 + ГБ, а затем через пару дней виртуальный сервер WSUS, собирающий обновления. Я подключил VMwarePlayer и машину к сети через жертвенный портативный жесткий диск USB емкостью 500 ГБ. Я присоединяю виртуальный сервер к домену и делаю его вышестоящим WSUS. Затем я меняю фактический WSUS на подчиненный сервер. После того, как они синхронизируют \ обновляют \ загружают (примерно через день), я выключаю и удаляю виртуальный WSUS, затем меняю реальный WSUS обратно на вышестоящий сервер. запустите gpupdate / force на всех рабочих станциях в пуле WSUS, и они начнут обновление. Это ежеквартальный процесс, поэтому мы сначала делаем ОЧЕНЬ БОЛЬШОЕ обновление для этих изолированных систем, затем ежеквартальные обновления могут быть выполнены таким же образом (если вы хотите) или очистить файлы WSUS и просто вернуться к выполнению wsusutil.exe. экспорт \ импорт с файлами .cab размером менее 2 ГБ.

О, полностью понимаю, откуда ты, и у меня похожая ситуация. У нас есть изолированная установка для тестирования исправлений для тестирования обновлений и их утверждения перед развертыванием в производственной среде.

Итак, это ситуация:

  1. Живая среда не имеет доступа в Интернет
  2. Тестовая установка (среда ESXi, в которой размещены среды домена на виртуальной машине с 1 сервером sccm) не имеет доступа в Интернет.
  3. Сервер WSUS подключен напрямую к Интернету.

Наш план:

  1. Загрузите и утвердите обновления на WSUS.
  2. Экспорт загруженных утвержденных обновлений / метаданных (возможно, используя WSUSutil)
  3. Скопируйте экспортированные метаданные и WSUSContent на съемный жесткий диск.
  4. Импортируйте данные в среду испытательного стенда SCCM server.
  5. Разверните в среде для тестирования.
  6. Утверждение после тестирования для внедрения в производство.