ローカルの場合はWSUS、リモートの場合はMUを使用しますか?(まだWSUSに報告してください)

9

現在、デスクトップとラップトップの両方のすべてのコンピューター用に構成された単一の内部WSUSサーバーがあります。WSUSサーバーは内部でのみ使用できます(VPNまたはLAN)。ほとんどオンサイトではなく、ネットワークに半頻繁にVPNで接続するリモートユーザーが何人かいます。VPN経由でWindows Updateをダウンロードしてもらう代わりに、次のことを実行したいと思います。

  • クライアントがローカルネットワーク上にある間、クライアントはWSUSサーバーをチェックして、承認されている更新を確認し、ローカルのWSUSサーバーからダウンロードします。
  • クライアントはリモートですが、クライアントはWSUSサーバーにチェックインし、WSUSサーバーはダウンロードする更新を指示しますが、Microsoftから直接ダウンロードします。

私が何を読んでから、これはにクライアントを告げる二WSUSサーバーを持つことによって、おそらく可能であるマイクロソフトからダウンロードし、DNSのネットマスクの順序を使用する連絡先にクライアントにどのWSUSサーバーを伝えるために。単一のWSUSサーバーでこれを行う方法はありますか?すべてのリモートクライアントはWindows 7 SP1で、WSUSはServer 2008 R2 SP1上のv3です。VPNサービス(IKEv2 / SSTP / L2TP / PPTP)にMicrosoft RRASを利用する。

windows  wsus 
ダン
ソース

回答:

4

私はそうは思いませんが、回避策の1つは、ネットワークに代行受信プロキシサーバーを実装することです。つまり、Microsoftからダウンロードするようにクライアントに指示しながら、ネットワーク上のマシンのコンテンツをローカルにキャッシュするようにWSUSサーバーを構成できます。(追加のボーナスとして、更新は実際に必要な場合にのみダウンロードされるため、承認する対象をあまり選択することができません。)

これのバリエーションは、プロキシサーバーを使用するようにデスクトップマシンでWinHTTPを構成することですが、これは、オンサイトのラップトップが引き続きMicrosoftからダウンロードされることを意味します。原則として、マシンの現在の場所を検出し、必要に応じてWinHTTPを再構成するソフトウェアを作成できます。

ハリー・ジョンストン
ソース
興味深い解決策ですが、LANには多くのサブネット/サイト/ドメインがあり、インターセプトプロキシを実装するのは面倒です。さらに、サーバーを追加する必要があるため、デュアルWSUSルートを使用することもできます。
Dan
4

最終的に、メインサーバーのレプリカとして2番目のWSUSサーバーを作成しましたが、1つ異なる点は、クライアントに報告を行うクライアントが、更新をMicrosoftから直接ダウンロードすることです(ダウンロードをローカルにキャッシュするのではなく)。ほとんどの場合、DNSソリューションを使用する代わりに、すべてのリモートクライアントがこの新しいWSUSサーバーにレポートするためにGPOを使用します。99%がオフィスの外にいるため、長期的にはよりシンプルです。

ダン
ソース
0

実際、これはWSUSが機能するという考えではないと思います。WSUSで更新を承認または拒否できるため、オフサイトユーザーはポリシーの影響を受けません。

たぶん、MS Intuneがこれに対するソリューションです。Microsoftからダウンロードしてください。

AndreasM
ソース
1
クライアントが受け取る更新を決定するために更新を承認/拒否するモードでWSUS機能を使用できますが、クライアントはMicrosoftから直接ダウンロードします。リモートクライアントがそれを行うWSUSサーバーをポイントし、ローカルクライアントが従来のWSUSサーバーをポイントするようにすることもできます。私がやろうとしていることは、これらの両方を1つにまとめることですが、それが可能かどうかはわかりません:(
Dan
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.