Utiliser WSUS en local, MU en distant? (Mais toujours signaler à WSUS)

9

Nous avons actuellement notre serveur WSUS interne unique configuré pour tous les ordinateurs, ordinateurs de bureau et ordinateurs portables. Le serveur WSUS est disponible uniquement en interne (VPN ou LAN). Nous avons des utilisateurs distants qui ne sont presque jamais sur place et semi-fréquemment VPN sur le réseau. Au lieu de les faire télécharger des mises à jour Windows sur le VPN, j'aimerais accomplir ce qui suit:

  • Pendant que les clients sont sur le réseau local, ils vérifient le serveur WSUS pour les mises à jour approuvées et les téléchargent à partir de notre serveur WSUS local.
  • Pendant que les clients sont distants, ils s'enregistrent sur le serveur WSUS et le serveur WSUS dicte les mises à jour à télécharger, mais ils les téléchargent directement depuis Microsoft.

D'après ce que j'ai lu, cela est probablement possible en ayant un serveur WSUS secondaire qui dit aux clients de télécharger à partir de Microsoft et en utilisant un masque de réseau DNS pour indiquer aux clients quel serveur WSUS contacter; existe-t-il un moyen de le faire avec un seul serveur WSUS? Tous les clients distants sont Windows 7 SP1, WSUS est v3 sur Server 2008 R2 SP1. Utilisation de Microsoft RRAS pour les services VPN (IKEv2 / SSTP / L2TP / PPTP).

Dan
la source

Réponses:

4

Je ne le crois pas, mais une solution consiste à implémenter un serveur proxy d'interception sur votre réseau. Cela signifie que vous pouvez configurer le serveur WSUS pour demander aux clients de télécharger à partir de Microsoft, mais toujours mettre en cache le contenu localement pour les machines de votre réseau. (En prime, les mises à jour ne seront téléchargées que si elles sont réellement nécessaires, vous pouvez donc être moins sélectif sur ce que vous approuvez.)

Une variante de cela consiste à configurer WinHTTP sur vos ordinateurs de bureau pour utiliser un serveur proxy, bien que cela signifie que les ordinateurs portables qui se trouvent sur place continueront à être téléchargés depuis Microsoft. En principe, vous pouvez écrire un logiciel qui détecte l'emplacement actuel de la machine et reconfigure WinHTTP si nécessaire.

Harry Johnston
la source
Bien qu'il s'agisse d'une solution intéressante, nous avons de nombreux sous-réseaux / sites / domaines dans notre LAN qui rendraient un proxy d'interception difficile à mettre en œuvre. De plus, cela nécessiterait toujours un serveur supplémentaire, alors nous pourrions aussi bien opter pour la double route WSUS.
Dan
4

Nous avons fini par créer un deuxième serveur WSUS en tant que réplique du serveur principal, à la seule différence que tous les clients qui lui rendent compte téléchargent leurs mises à jour directement auprès de Microsoft (au lieu de mettre en cache les téléchargements localement). Nous utiliserons très probablement un GPO pour tous nos clients distants pour signaler à ce nouveau serveur WSUS au lieu d'utiliser des solutions DNS; 99% du temps, ils sont en dehors du bureau, c'est donc plus simple à long terme.

Dan
la source
0

En fait, je ne pense pas que ce soit l'idée des travaux WSUS. Étant donné que vous pouvez approuver / rejeter les mises à jour dans WSUS, les utilisateurs hors site ne seront pas affectés par votre stratégie.

Peut-être que MS Intune est la solution pour cela: téléchargez depuis Microsoft, mais vous gardez toujours le contrôle.

AndreasM
la source
1
Vous pouvez avoir la fonction WSUS dans un mode où vous approuvez / rejetez les mises à jour pour décider quelles mises à jour les clients reçoivent, mais les clients téléchargent directement à partir de Microsoft. Je pourrais avoir des clients distants pointer vers un serveur WSUS qui fait exactement cela, puis des clients locaux pointer vers le serveur WSUS traditionnel. Ce que je cherche à faire, c'est de regrouper les deux, mais je ne suis pas sûr que ce soit possible :(
Dan