ใช้ WSUS เมื่อท้องถิ่น MU เมื่อรีโมต (แต่ยังคงรายงานต่อ WSUS)

9

ขณะนี้เรามีเซิร์ฟเวอร์ WSUS ภายในเครื่องเดียวสำหรับคอมพิวเตอร์ทุกเครื่องทั้งเดสก์ท็อปและแล็ปท็อป เซิร์ฟเวอร์ WSUS ให้บริการภายในเท่านั้น (ทั้ง VPN หรือ LAN) เรามีผู้ใช้รีโมตบางคนที่แทบจะไม่เคยใช้ VPN ในสถานที่และกึ่งบ่อย แทนที่จะให้พวกเขาดาวน์โหลด Windows Updates ผ่าน VPN ฉันต้องการทำสิ่งต่อไปนี้ให้สำเร็จ:

  • ในขณะที่ลูกค้าอยู่ในเครือข่ายท้องถิ่นพวกเขาตรวจสอบเซิร์ฟเวอร์ WSUS สำหรับการปรับปรุงที่ได้รับการอนุมัติและดาวน์โหลดพวกเขาจากเซิร์ฟเวอร์ WSUS ท้องถิ่นของเรา
  • ในขณะที่ไคลเอนต์อยู่ในระยะไกลพวกเขาเช็คอินไปยังเซิร์ฟเวอร์ WSUS และเซิร์ฟเวอร์ WSUS กำหนดว่าจะให้ดาวน์โหลดอัพเดตใด แต่พวกเขาดาวน์โหลดโดยตรงจาก Microsoft

จากสิ่งที่ฉันอ่านอาจเป็นไปได้โดยมีเซิร์ฟเวอร์ WSUS รองที่บอกให้ลูกค้าดาวน์โหลดจาก Microsoftและใช้ DNS netmask สั่งให้บอกลูกค้าว่าเซิร์ฟเวอร์ WSUS ใดติดต่อ มีวิธีการทำเช่นนี้กับเซิร์ฟเวอร์ WSUS เดียวหรือไม่ ไคลเอนต์ระยะไกลทั้งหมดคือ Windows 7 SP1, WSUS คือ v3 บน Server 2008 R2 SP1 การใช้ Microsoft RRAS สำหรับบริการ VPN (IKEv2 / SSTP / L2TP / PPTP)

windows  wsus 
แดน
แหล่งที่มา

คำตอบ:

4

ฉันไม่เชื่อเช่นนั้น แต่มีวิธีแก้ปัญหาอย่างหนึ่งคือการใช้พร็อกซีเซิร์ฟเวอร์ intercepting บนเครือข่ายของคุณ ซึ่งหมายความว่าคุณสามารถกำหนดค่าเซิร์ฟเวอร์ WSUS เพื่อแนะนำให้ลูกค้าดาวน์โหลดจาก Microsoft แต่ยังคงแคชเนื้อหาไว้ภายในเครื่องสำหรับเครือข่ายของคุณ (เป็นโบนัสเพิ่มเติมการอัปเดตจะถูกดาวน์โหลดเมื่อจำเป็นจริง ๆ เท่านั้นดังนั้นคุณสามารถเลือกได้น้อยลงเกี่ยวกับสิ่งที่คุณอนุมัติ)

รูปแบบของสิ่งนี้คือการกำหนดค่า WinHTTP บนเครื่องเดสก์ท็อปของคุณให้ใช้พร็อกซีเซิร์ฟเวอร์แม้ว่านี่หมายถึงแล็ปท็อปที่อยู่ในสถานที่จะยังคงดาวน์โหลดจาก Microsoft โดยหลักการคุณสามารถเขียนซอฟต์แวร์บางอย่างที่ตรวจจับตำแหน่งปัจจุบันของเครื่องและตั้งค่า WinHTTP ใหม่ตามความจำเป็น

Harry Johnston
แหล่งที่มา
ในขณะที่วิธีการแก้ปัญหาที่น่าสนใจเรามีซับเน็ต / ไซต์ / โดเมนจำนวนมากใน LAN ของเราที่จะทำให้การใช้พร็อกซีดักฟังเป็นเรื่องยุ่งยาก นอกจากนี้ยังคงต้องใช้เซิร์ฟเวอร์เพิ่มเติมดังนั้นเราจึงอาจใช้เส้นทางคู่ WSUS
ด่าน
4

เราลงเอยด้วยการสร้างเซิร์ฟเวอร์ WSUS ตัวที่สองเป็นแบบจำลองของเซิร์ฟเวอร์หลักที่มีความแตกต่างอย่างหนึ่งที่ลูกค้ารายใดรายงานดาวน์โหลดการปรับปรุงโดยตรงจาก Microsoft (แทนที่จะแคชการดาวน์โหลดในเครื่อง) เรามักจะใช้ GPO สำหรับลูกค้าระยะไกลทั้งหมดของเราเพื่อรายงานไปยังเซิร์ฟเวอร์ WSUS ใหม่นี้แทนที่จะใช้โซลูชัน DNS ใด ๆ 99% ของเวลาพวกเขาอยู่นอกสำนักงานดังนั้นมันจึงง่ายขึ้นในระยะยาว

แดน
แหล่งที่มา
0

จริงๆแล้วฉันไม่คิดว่านี่เป็นความคิดของ WSUS เนื่องจากคุณสามารถอนุมัติ / ปฏิเสธการอัปเดตใน WSUS ผู้ใช้ภายนอกจะไม่ได้รับผลกระทบจากนโยบายของคุณ

บางที MS Intune เป็นวิธีแก้ปัญหานี้: ดาวน์โหลดจาก Microsoft แต่คุณยังสามารถควบคุมได้

AndreasM
แหล่งที่มา
1
คุณสามารถมีฟังก์ชั่น WSUS ในโหมดที่คุณอนุมัติ / ปฏิเสธการอัปเดตเพื่อตัดสินว่าลูกค้าได้รับการอัพเดตใดบ้าง แต่ไคลเอนต์จะดาวน์โหลดโดยตรงจาก Microsoft ฉันสามารถให้ลูกค้าระยะไกลชี้ไปที่เซิร์ฟเวอร์ WSUS ที่ทำเช่นนั้นแล้วลูกค้าในพื้นที่จะชี้ไปที่เซิร์ฟเวอร์ WSUS ดั้งเดิม สิ่งที่ฉันต้องการจะทำมีทั้งสองสิ่งนี้รวมเข้าด้วยกัน แต่ฉันไม่แน่ใจว่าเป็นไปได้ :(
Dan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.