Gunakan WSUS saat lokal, MU saat jarak jauh? (Tapi masih melapor ke WSUS)


9

Saat ini kami memiliki satu server WSUS internal kami yang dikonfigurasi untuk semua komputer, baik desktop maupun laptop. Server WSUS hanya tersedia secara internal (baik VPN atau LAN). Kami memiliki beberapa pengguna jarak jauh yang hampir tidak pernah ada di tempat dan semi-sering VPN ke jaringan. Alih-alih meminta mereka mengunduh Pembaruan Windows di VPN, saya ingin melakukan yang berikut:

  • Sementara klien berada di jaringan lokal, mereka memeriksa server WSUS untuk pembaruan yang disetujui dan mengunduhnya dari server WSUS lokal kami.
  • Sementara klien jauh, mereka check-in ke server WSUS dan server WSUS menentukan pembaruan yang akan diunduh, tetapi mereka mengunduhnya langsung dari Microsoft.

Dari apa yang saya baca, ini mungkin dimungkinkan dengan memiliki server WSUS sekunder yang memberi tahu klien untuk mengunduh dari Microsoft dan menggunakan DNS netmask yang memesan untuk memberi tahu klien server WSUS mana yang harus dihubungi; apakah ada cara untuk melakukan ini dengan server WSUS tunggal? Semua klien jarak jauh adalah Windows 7 SP1, WSUS v3 pada Server 2008 R2 SP1. Memanfaatkan Microsoft RRAS untuk layanan VPN (IKEv2 / SSTP / L2TP / PPTP).

Jawaban:


4

Saya tidak percaya begitu, tetapi satu solusi adalah menerapkan server proxy yang memotong di jaringan Anda. Ini berarti bahwa Anda dapat mengonfigurasi server WSUS untuk memerintahkan klien mengunduh dari Microsoft, tetapi masih menyimpan konten secara lokal untuk mesin di jaringan Anda. (Sebagai bonus tambahan, pembaruan hanya akan diunduh jika benar-benar diperlukan, sehingga Anda bisa kurang selektif tentang apa yang Anda setujui.)

Variasi dari ini adalah untuk mengkonfigurasi WinHTTP pada mesin desktop Anda untuk menggunakan server proxy, meskipun ini berarti laptop yang ada di situs masih akan mengunduh dari Microsoft. Pada prinsipnya Anda dapat menulis beberapa perangkat lunak yang mendeteksi lokasi mesin saat ini dan mengkonfigurasi ulang WinHTTP sesuai kebutuhan.


Walaupun merupakan solusi yang menarik, kami memiliki banyak subnet / situs / domain di LAN kami yang akan membuat proxy yang menyadap sulit untuk diterapkan. Plus itu masih akan membutuhkan server tambahan sehingga kami mungkin juga pergi dengan rute WSUS ganda.
Dan

4

Kami akhirnya membuat server WSUS kedua sebagai replika server utama dengan satu perbedaan bahwa setiap klien yang melaporkannya mengunduh pembaruan mereka langsung dari Microsoft (alih-alih melakukan caching unduhan secara lokal). Kami kemungkinan besar hanya akan menggunakan GPO untuk semua klien jarak jauh kami untuk melaporkan ke server WSUS baru ini daripada menggunakan solusi DNS apa pun; 99% dari waktu mereka berada di luar kantor sehingga hanya lebih sederhana dalam jangka panjang.


0

Sebenarnya saya tidak berpikir ini adalah ide dari karya WSUS. Karena Anda dapat menyetujui / menolak pembaruan di WSUS, pengguna di luar kantor tidak akan terpengaruh oleh kebijakan Anda.

Mungkin MS Intune adalah solusi untuk ini: Unduh dari Microsoft, tetapi Anda masih memegang kendali.


1
Anda dapat memiliki fungsi WSUS dalam mode di mana Anda menyetujui / menolak pembaruan untuk memutuskan pembaruan apa yang diterima klien, tetapi klien mengunduh langsung dari Microsoft. Saya dapat meminta klien jarak jauh menunjuk ke server WSUS yang melakukan hal itu dan kemudian klien lokal menunjuk ke server WSUS tradisional. Yang ingin saya lakukan adalah menggabungkan keduanya menjadi satu, tapi saya tidak yakin itu mungkin :(
Dan
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.