目前,我们为所有计算机(包括台式机和笔记本电脑)配置了单个内部 WSUS 服务器。WSUS 服务器仅在内部可用(VPN 或 LAN)。我们有一些远程用户几乎从不在现场,并且经常通过 VPN 接入网络。我不想让他们通过 VPN 下载 Windows 更新,而是希望实现以下目标:
- 当客户端位于本地网络上时,他们会检查 WSUS 服务器是否有已批准的更新,并从我们的本地 WSUS 服务器下载这些更新。
- 当客户端处于远程状态时,它们会登录到 WSUS 服务器,WSUS 服务器会指示下载哪些更新,但它们会直接从 Microsoft 下载这些更新。
据我所知,这可能是通过一个辅助 WSUS 服务器来实现的,该服务器会告诉客户端从 Microsoft 下载和利用 DNS 网络掩码排序告诉客户端要联系哪个 WSUS 服务器;有没有办法用单个 WSUS 服务器做到这一点?所有远程客户端都是 Windows 7 SP1,WSUS 是 Server 2008 R2 SP1 上的 v3。利用 Microsoft RRAS 提供 VPN 服务(IKEv2/SSTP/L2TP/PPTP)。
答案1
我不这么认为,但一种解决方法是在您的网络上实施拦截代理服务器。这意味着您可以配置 WSUS 服务器以指示客户端从 Microsoft 下载,但仍在本地缓存网络上机器的内容。(作为额外的好处,只有在真正需要时才会下载更新,因此您可以不那么挑剔您批准的内容。)
这种方法的一个变种是将台式机上的 WinHTTP 配置为使用代理服务器,尽管这意味着现场的笔记本电脑仍将从 Microsoft 下载。原则上,您可以编写一些软件来检测机器的当前位置并根据需要重新配置 WinHTTP。
答案2
我们最终创建了第二个 WSUS 服务器作为主服务器的副本,但有一个区别,即任何向其报告的客户端都直接从 Microsoft 下载更新(而不是在本地缓存下载)。我们很可能只使用 GPO 让所有远程客户端向这个新的 WSUS 服务器报告,而不是使用任何 DNS 解决方案;99% 的时间他们都在办公室外,因此从长远来看,这样做更简单。
答案3
实际上,我不认为这是 WSUS 的工作理念。由于您可以在 WSUS 中批准/拒绝更新,因此场外用户不会受到您的策略的影响。
也许 MS Intune 就是解决此问题的方案:从 Microsoft 下载,但您仍然可以控制。