我目前正在devise一个新的WSUS环境,我们正在寻求多级批准。
我们希望拥有顶级WSUS,安全团队批准更新,然后同步到每个团队的下游WSUS服务器(基础架构,开发人员等),然后批准/拒绝他们自己的子集。
问题在于,在自治模式下,无论是否经过批准,下游服务器都会同步来自上游的所有补丁。 在复制模式下,我们将失去使每个团队都能够拒绝他们认为会产生不利影响的任何更新的function。
我正在寻找的是两者之间的东西。 有没有人有这样的设置或知道如何可以实现?
有两个主要的select,每个都有一个“更简单”和“更难”的方式来完成目标,取决于您的要求和networking环境。
此选项依赖于您的上游服务器(USS)被设置为在批准更新之前不会下载内容。 下游服务器(DSS)照常从USS同步,并接收有关可用更新的元数据。 这使客户端能够扫描并确定更新是否适用。 DSS上的pipe理员可以看到需要的更新,并且可以在USS批准更新之前或之后批准更新。 但是,在USS批准更新之前,内容将不可用,客户端将无法安装。
此方法的替代方法是将其视为空隙情景,并定期导出父WSUS实例的元数据和二进制内容,并将其导入到最终目标的独立实例。 更新是在没有批准的情况下导入的,所以分支机构可以做出最终决定。
最好的方法是为下游客户端提供一个独立的服务器。 在主WSUS服务器上,评估更新,并logging批准的KB。 分支机构WSUS服务器可以直接通过KB号从Windows Update目录中导入KB。
这种方法难以实施的替代方法是将USS与WU同步,并获取所有类别/分类的元数据。 一旦确定了所需的更新,批准它们并确保已经下载了所有的内容。 使用WSUS API删除未经批准的更新。 导出数据库和WSUSContent文件夹,然后将其导入到不同步于WU的USS中。 这个解决scheme有很多可移动的部分,并不是轻描淡写的。 我们在这里做了这个作为一个商业解决scheme的一部分,花了一段时间(和几个人)得到正确的。