WSUS 具有上游 (USS) 和下游服务器 (DSS) 的多级批准

WSUS 具有上游 (USS) 和下游服务器 (DSS) 的多级批准

我目前正在设计一个新的 WSUS 环境,我们希望获得多级审批。

我们希望有一个顶级 WSUS,安全团队在其中批准更新,然后将其同步到每个团队(基础设施、开发等)的下游 WSUS 服务器,然后批准/拒绝他们自己的子集。

问题在于,在自治模式下,下游服务器会同步来自上游的所有补丁,无论是否获得批准。在副本模式下,我们将失去让每个团队拒绝任何他们认为会产生不利影响的更新的功能。

我正在寻找介于两者之间的某种东西。有人有这样的设置吗?或者知道如何实现吗?

答案1

有两个主要选项,每个选项都有一种“更简单”和一种“更困难”的方式来实现目标,具体取决于您的要求和网络环境。

  1. 下游服务器可以看到所有可用的更新,但客户端只有在获得上游批准后才能安装它们。

此选项依赖于您的上游服务器 (USS) 设置为在更新获得批准之前不下载内容。下游服务器 (DSS) 照常从 USS 同步,并接收有关可用更新的元数据。这使客户端能够扫描并确定更新是否适用。DSS 的管理员可以查看所需的更新,并且可以在更新在 USS 上获得批准之前或之后批准更新。但是,在 USS 批准更新之前,内容将不可用,客户端将无法安装它们。

这种方法的替代方法是将其视为隔离方案,并定期导出父 WSUS 实例的元数据和二进制内容,并将其导入到独立实例中作为最终目标。更新无需批准即可导入,因此分支机构可以做出最终决定。

  1. 绝对不允许任何未经批准的更新内容流入下游服务器。

最好的方法是为下游客户端配备一个独立的服务器。在主 WSUS 服务器上,对更新进行评估并记录待批准的 KB。然后,分支机构 WSUS 服务器可以直接按 KB 编号从 Windows 更新目录中导入 KB。

这种方法的一个难以实施的替代方法是将 USS 同步到 WU 并获取类别/分类的所有元数据。一旦您确定了所需的更新,请批准它们并确保所有内容都已下载。使用 WSUS API 删除未批准的更新。导出 DB 和 WSUSContent 文件夹,然后将它们导入未从 WU 同步的 USS。这个解决方案有很多移动部件,并且不能轻易尝试。我们在这里将此作为商业解决方案的一部分完成,花了一段时间(和几个人)才做对。

相关内容