WSUS verwenden, wenn lokal, MU, wenn entfernt? (Aber immer noch an WSUS melden)

9

Derzeit ist unser einzelner interner WSUS-Server für alle Computer konfiguriert, sowohl für Desktops als auch für Laptops. Der WSUS-Server ist nur intern verfügbar (entweder VPN oder LAN). Wir haben einige Remote-Benutzer, die fast nie vor Ort sind und nur selten VPN in das Netzwerk einbinden. Anstatt sie Windows-Updates über das VPN herunterladen zu lassen, möchte ich Folgendes erreichen:

  • Während sich die Clients im lokalen Netzwerk befinden, überprüfen sie den WSUS-Server auf genehmigte Updates und laden sie von unserem lokalen WSUS-Server herunter.
  • Während die Clients remote sind, checken sie beim WSUS-Server ein und der WSUS-Server bestimmt, welche Updates heruntergeladen werden sollen, sie werden jedoch direkt von Microsoft heruntergeladen.

Nach dem, was ich gelesen habe, ist dies wahrscheinlich möglich, indem ein sekundärer WSUS-Server vorhanden ist, der die Clients anweist, von Microsoft herunterzuladen, und mithilfe der DNS-Netzmaskenreihenfolge den Clients mitteilt , an welchen WSUS-Server sie sich wenden sollen. Gibt es eine Möglichkeit, dies mit einem einzelnen WSUS-Server zu tun? Alle Remoteclients sind Windows 7 SP1, WSUS ist v3 auf Server 2008 R2 SP1. Verwendung von Microsoft RRAS für VPN-Dienste (IKEv2 / SSTP / L2TP / PPTP).

Dan
quelle

Antworten:

3

Ich glaube nicht, aber eine Problemumgehung besteht darin, einen abfangenden Proxyserver in Ihrem Netzwerk zu implementieren. Dies bedeutet, dass Sie den WSUS-Server so konfigurieren können, dass Clients zum Herunterladen von Microsoft angewiesen werden, der Inhalt jedoch weiterhin lokal für Computer in Ihrem Netzwerk zwischengespeichert wird. (Als zusätzlichen Bonus werden Updates nur heruntergeladen, wenn sie tatsächlich benötigt werden, sodass Sie weniger selektiv entscheiden können, was Sie genehmigen.)

Eine Variante davon besteht darin, WinHTTP auf Ihren Desktop-Computern für die Verwendung eines Proxyservers zu konfigurieren. Dies bedeutet jedoch, dass vor Ort befindliche Laptops weiterhin von Microsoft heruntergeladen werden. Im Prinzip können Sie eine Software schreiben, die den aktuellen Standort des Computers erkennt und WinHTTP nach Bedarf neu konfiguriert.

Harry Johnston
quelle
Obwohl dies eine interessante Lösung ist, haben wir viele Subnetze / Sites / Domänen in unserem LAN, die die Implementierung eines abfangenden Proxys schwierig machen würden. Außerdem wäre dafür noch ein zusätzlicher Server erforderlich, sodass wir genauso gut die duale WSUS-Route wählen könnten.
Dan
3

Am Ende haben wir einen zweiten WSUS-Server als Replikat des Hauptservers erstellt, mit dem einzigen Unterschied, dass alle Clients, die ihm Bericht erstatten, ihre Updates direkt von Microsoft herunterladen (anstatt die Downloads lokal zwischenzuspeichern). Wir werden höchstwahrscheinlich nur ein Gruppenrichtlinienobjekt für alle unsere Remote-Clients verwenden, um diesem neuen WSUS-Server Bericht zu erstatten, anstatt DNS-Lösungen zu verwenden. 99% der Zeit sind sie außerhalb des Büros, daher ist es auf lange Sicht einfach.

Dan
quelle
0

Eigentlich glaube ich nicht, dass dies die Idee von WSUS ist. Da Sie Updates in WSUS genehmigen / ablehnen können, sind die externen Benutzer von Ihrer Richtlinie nicht betroffen.

Vielleicht ist MS Intune die Lösung dafür: Download von Microsoft, aber Sie haben immer noch die Kontrolle.

AndreasM
quelle
Sie können die WSUS-Funktion in einem Modus verwenden, in dem Sie Aktualisierungen genehmigen / ablehnen, um zu entscheiden, welche Aktualisierungen die Clients erhalten, die Clients jedoch direkt von Microsoft herunterladen. Ich könnte Remote-Clients auf einen WSUS-Server verweisen lassen, der genau das tut, und dann könnten lokale Clients auf den traditionellen WSUS-Server verweisen. Was ich tun möchte, ist, beide in einem zu haben, aber ich bin nicht sicher, ob es möglich ist :(
Dan