¿Usar WSUS cuando es local, MU cuando es remoto? (Pero aún informa a WSUS)

9

Actualmente tenemos nuestro único servidor WSUS interno configurado para todas las computadoras, tanto computadoras de escritorio como portátiles. El servidor WSUS solo está disponible internamente (VPN o LAN). Tenemos algunos usuarios remotos que casi nunca están en el sitio y con poca frecuencia VPN en la red. En lugar de hacer que descarguen las actualizaciones de Windows a través de la VPN, me gustaría lograr lo siguiente:

  • Mientras los clientes están en la red local, verifican las actualizaciones aprobadas en el servidor WSUS y las descargan de nuestro servidor WSUS local.
  • Si bien los clientes son remotos, se registran en el servidor WSUS y el servidor WSUS dicta qué actualizaciones descargar, pero las descargan directamente desde Microsoft.

Por lo que he leído, esto probablemente sea posible al tener un servidor WSUS secundario que les dice a los clientes que descarguen de Microsoft y que utiliza la máscara de red DNS que ordena a los clientes con qué servidor WSUS contactar; ¿Hay alguna manera de hacer esto con un único servidor WSUS? Todos los clientes remotos son Windows 7 SP1, WSUS es v3 en Server 2008 R2 SP1. Utilizando Microsoft RRAS para servicios VPN (IKEv2 / SSTP / L2TP / PPTP).

Dan
fuente

Respuestas:

4

No lo creo, pero una solución alternativa es implementar un servidor proxy interceptor en su red. Esto significa que puede configurar el servidor WSUS para indicar a los clientes que descarguen de Microsoft, pero aún almacenar en caché el contenido localmente para las máquinas en su red. (Como beneficio adicional, las actualizaciones solo se descargarán si realmente son necesarias, por lo que puede ser menos selectivo sobre lo que aprueba).

Una variación de esto es configurar WinHTTP en sus máquinas de escritorio para usar un servidor proxy, aunque esto significa que las computadoras portátiles que están en el sitio aún se descargarán de Microsoft. En principio, podría escribir algún software que detecte la ubicación actual de la máquina y reconfigure WinHTTP según sea necesario.

Harry Johnston
fuente
Si bien es una solución interesante, tenemos muchas subredes / sitios / dominios en nuestra LAN que harían difícil implementar un proxy interceptor. Además, eso aún requeriría un servidor adicional, por lo que también podríamos tomar la ruta dual WSUS.
Dan
4

Terminamos creando un segundo servidor WSUS como una réplica del servidor principal con la única diferencia de que los clientes que le informan descargan sus actualizaciones directamente desde Microsoft (en lugar de almacenar en caché las descargas localmente). Lo más probable es que usemos un GPO para todos nuestros clientes remotos para informar a este nuevo servidor WSUS en lugar de usar cualquier solución DNS; El 99% del tiempo están fuera de la oficina, por lo que es más simple a largo plazo.

Dan
fuente
0

En realidad, no creo que esta sea la idea de que WSUS funcione. Como puede aprobar / rechazar actualizaciones en WSUS, los usuarios externos no se verán afectados por su política.

Quizás MS Intune sea la solución para esto: descargue de Microsoft, pero aún tiene el control.

AndreasM
fuente
1
Puede tener la función WSUS en un modo en el que aprueba / rechaza las actualizaciones para decidir qué actualizaciones reciben los clientes, pero los clientes descargan directamente de Microsoft. Podría hacer que los clientes remotos apunten a un servidor WSUS que haga exactamente eso y luego los clientes locales apunten al servidor WSUS tradicional. Lo que estoy buscando hacer es tener ambos en uno, pero no estoy seguro de que sea posible :(
Dan