目前,公司中在家中使用公司笔记本电脑的人员需要通过 VPN 连接才能使 Windows 更新不会出现错误,因为 WSUS 服务器仅供内部使用。
我知道可以让 WSUS 面向公众;考虑到它本质上是一个 IIS 网站,这相对简单(并且希望可以与提供反向代理的防火墙配合使用)。
然而,有些事情我不确定,我希望有人可以澄清:
- 我读到过建议创建一个下游服务器副本,并使其面向公众。为什么?
- 如果我有一个能够为本地网站创建安全反向代理的防火墙,是否仍然推荐使用副本服务器?
- 我们的主要 WSUS 使用常规 SQL 数据库(WSUS 数据库的管理非常烦人,我无法想象仅使用“Windows 内部数据库”对其进行维护。副本 WSUS 服务器也是如此吗?
- 据我所知,WSUS 没有任何“安全性”,即任何可以访问 WSUS 服务器的 DNS / IP 和端口的计算机都可以使用该服务。这与在 WSUS 中设置计算机和计算机组有什么关系?我没有看到任何可以阻止某人向面向公众的 WSUS 服务器发送虚假计算机信息的垃圾邮件的方法。
答案1
我的答案如下:
1)我想说您在下游创建一个副本,因为它更容易重建。
2)如果您依赖防火墙允许任何人从互联网访问您的 wsus 服务器,我仍然会使用副本。
3) 根据我的经验,副本更易于管理,我不记得我是否曾经对副本进行维护,还是只对主副本进行维护,抱歉。我认为可能只是 wsus 清理向导。
4)不确定您关于使用虚假信息向服务器发送垃圾邮件的问题,再说一次,我不会将该服务器暴露在互联网上。
我会考虑继续使用您的 vpn 服务器,以允许您的远程计算机访问您的 wsus 服务器。如果您试图限制 vpn 访问,尤其是对内部网络(可能是单独的网络,该网络有防火墙),并且您允许通过该防火墙访问您的副本服务器。
一些 vpn 解决方案还提供允许访问某些网站的方法,因此您仍然将对服务器的访问限制为经过身份验证的用户。不过,我可能更愿意只允许访问 DMZ 中的副本服务器。