Atualmente, temos nosso único servidor WSUS interno configurado para todos os computadores, desktops e laptops. O servidor WSUS está disponível apenas internamente (VPN ou LAN). Temos alguns usuários remotos que quase nunca estão no local e VPN semifreqüentemente na rede. Em vez de fazer o download das atualizações do Windows pela VPN, eu gostaria de fazer o seguinte:
- Enquanto os clientes estão na rede local, eles verificam o servidor WSUS quanto às atualizações aprovadas e fazem o download no servidor WSUS local.
- Enquanto os clientes são remotos, eles fazem check-in no servidor WSUS e o servidor WSUS determina quais atualizações devem ser baixadas, mas fazem o download diretamente da Microsoft.
Pelo que li, isso provavelmente é possível com um servidor WSUS secundário que solicita aos clientes que baixem da Microsoft e utilizando a requisição de máscara de rede DNS para informar aos clientes com qual servidor WSUS entrar em contato; existe uma maneira de fazer isso com um único servidor WSUS? Todos os clientes remotos são Windows 7 SP1, o WSUS é v3 no Server 2008 R2 SP1. Utilizando o Microsoft RRAS para serviços VPN (IKEv2 / SSTP / L2TP / PPTP).
Acabamos criando um segundo servidor WSUS como uma réplica do servidor principal, com a única diferença de que qualquer cliente que se reporte a ele baixe suas atualizações diretamente da Microsoft (em vez de armazenar em cache os downloads localmente). Provavelmente, apenas usaremos um GPO para todos os nossos clientes remotos se reportarem a esse novo servidor WSUS em vez de usar qualquer solução DNS; 99% do tempo eles estão fora do escritório, então é mais simples a longo prazo.
fonte
Na verdade, não acho que essa seja a idéia do WSUS funcionar. Como você pode aprovar / rejeitar atualizações no WSUS, os usuários externos não serão afetados por sua política.
Talvez o MS Intune seja a solução para isso: Baixe da Microsoft, mas você ainda está no controle.
fonte