Actualmente tenemos nuestro único servidor WSUS interno configurado para todas las computadoras, tanto computadoras de escritorio como portátiles. El servidor WSUS solo está disponible internamente (VPN o LAN). Tenemos algunos usuarios remotos que casi nunca están en el sitio y con poca frecuencia VPN en la red. En lugar de hacer que descarguen las actualizaciones de Windows a través de la VPN, me gustaría lograr lo siguiente:
- Mientras los clientes están en la red local, verifican las actualizaciones aprobadas en el servidor WSUS y las descargan de nuestro servidor WSUS local.
- Si bien los clientes son remotos, se registran en el servidor WSUS y el servidor WSUS dicta qué actualizaciones descargar, pero las descargan directamente desde Microsoft.
Por lo que he leído, esto probablemente sea posible al tener un servidor WSUS secundario que les dice a los clientes que descarguen de Microsoft y que utiliza la máscara de red DNS que ordena a los clientes con qué servidor WSUS contactar; ¿Hay alguna manera de hacer esto con un único servidor WSUS? Todos los clientes remotos son Windows 7 SP1, WSUS es v3 en Server 2008 R2 SP1. Utilizando Microsoft RRAS para servicios VPN (IKEv2 / SSTP / L2TP / PPTP).
Terminamos creando un segundo servidor WSUS como una réplica del servidor principal con la única diferencia de que los clientes que le informan descargan sus actualizaciones directamente desde Microsoft (en lugar de almacenar en caché las descargas localmente). Lo más probable es que usemos un GPO para todos nuestros clientes remotos para informar a este nuevo servidor WSUS en lugar de usar cualquier solución DNS; El 99% del tiempo están fuera de la oficina, por lo que es más simple a largo plazo.
fuente
En realidad, no creo que esta sea la idea de que WSUS funcione. Como puede aprobar / rechazar actualizaciones en WSUS, los usuarios externos no se verán afectados por su política.
Quizás MS Intune sea la solución para esto: descargue de Microsoft, pero aún tiene el control.
fuente