Use o WSUS quando local, MU quando remoto? (Mas ainda informe ao WSUS)

9

Atualmente, temos nosso único servidor WSUS interno configurado para todos os computadores, desktops e laptops. O servidor WSUS está disponível apenas internamente (VPN ou LAN). Temos alguns usuários remotos que quase nunca estão no local e VPN semifreqüentemente na rede. Em vez de fazer o download das atualizações do Windows pela VPN, eu gostaria de fazer o seguinte:

  • Enquanto os clientes estão na rede local, eles verificam o servidor WSUS quanto às atualizações aprovadas e fazem o download no servidor WSUS local.
  • Enquanto os clientes são remotos, eles fazem check-in no servidor WSUS e o servidor WSUS determina quais atualizações devem ser baixadas, mas fazem o download diretamente da Microsoft.

Pelo que li, isso provavelmente é possível com um servidor WSUS secundário que solicita aos clientes que baixem da Microsoft e utilizando a requisição de máscara de rede DNS para informar aos clientes com qual servidor WSUS entrar em contato; existe uma maneira de fazer isso com um único servidor WSUS? Todos os clientes remotos são Windows 7 SP1, o WSUS é v3 no Server 2008 R2 SP1. Utilizando o Microsoft RRAS para serviços VPN (IKEv2 / SSTP / L2TP / PPTP).

Dan
fonte

Respostas:

4

Eu não acredito nisso, mas uma solução alternativa é implementar um servidor proxy interceptador na sua rede. Isso significa que você pode configurar o servidor WSUS para instruir os clientes a fazer o download da Microsoft, mas ainda armazenar em cache o conteúdo localmente para as máquinas da sua rede. (Como um bônus adicional, as atualizações serão baixadas apenas se forem realmente necessárias, para que você possa ser menos seletivo quanto ao que aprovar.)

Uma variação disso é configurar o WinHTTP em suas máquinas de desktop para usar um servidor proxy, embora isso signifique que os laptops no local ainda farão o download da Microsoft. Em princípio, você pode escrever algum software que detecte a localização atual da máquina e reconfigure o WinHTTP conforme necessário.

Harry Johnston
fonte
Embora seja uma solução interessante, temos muitas sub-redes / sites / domínios em nossa LAN que dificultariam a implementação de um proxy interceptador. Além disso, isso ainda exigiria um servidor adicional, para que possamos seguir a rota dupla do WSUS.
Dan
4

Acabamos criando um segundo servidor WSUS como uma réplica do servidor principal, com a única diferença de que qualquer cliente que se reporte a ele baixe suas atualizações diretamente da Microsoft (em vez de armazenar em cache os downloads localmente). Provavelmente, apenas usaremos um GPO para todos os nossos clientes remotos se reportarem a esse novo servidor WSUS em vez de usar qualquer solução DNS; 99% do tempo eles estão fora do escritório, então é mais simples a longo prazo.

Dan
fonte
0

Na verdade, não acho que essa seja a idéia do WSUS funcionar. Como você pode aprovar / rejeitar atualizações no WSUS, os usuários externos não serão afetados por sua política.

Talvez o MS Intune seja a solução para isso: Baixe da Microsoft, mas você ainda está no controle.

AndreasM
fonte
1
Você pode ter a função WSUS em um modo em que você aprova / rejeita atualizações para decidir quais atualizações os clientes recebem, mas os clientes fazem o download diretamente da Microsoft. Eu poderia ter clientes remotos apontando para um servidor WSUS que faz exatamente isso e, em seguida, clientes locais apontam para o servidor WSUS tradicional. O que eu estou procurando fazer é ter os dois agrupados em um, mas não tenho certeza de que seja possível :( #
217 /