我们有一个运行Windows HyperV的testing/集成环境(rig),里面有服务器虚拟机。
我想在pipe理平台上pipe理补丁(超V主机和内部虚拟机,这些都在自己的域中),但是由于安全问题,我们无法将平台连接到互联网(甚至是公司networking)。
是否可以从浏览器下载WSUS的修补程序信息(或任何适用的技术/应用程序),然后手动将其加载到设备中? 如果没有,您是否有build议在断开连接的服务器上pipe理修补程序(并且在任何情况下都不能连接到互联网或公司networking)?
到目前为止您的select:
请注意,即使在线时,WSUS服务器也可以configuration为向您的域提供基本可以忽略的安全风险。 它可以放置在DMZ中,客户端不需要与WSUS服务器处于同一个域中,并且客户端针对微软的公钥检查更新签名,所以只要相应的私钥不可能伪造更新密钥不会被破坏(无论您是否使用WSUS安装更新,这都会造成问题)。 因此,您可以设置一个联机WSUS服务器,并设置您的testingnetworking的筛选器,以允许HTTP / HTTPS连接到此服务器,而不会影响安全性。
WSUS文档中的“ configuration断开networking以接收更新”一章介绍了在断开连接的环境中使用WSUS的官方支持方式。 您需要安装第二个WSUS安装程序,可以从Microsoft服务器下载更新程序。
首先,您需要同步连接的WSUS服务器上的元数据; 那么您必须以某种方式下载更新文件(例如,通过批准更新某个虚拟组)。 完成此操作后,需要从连接的WSUS服务器中导出元数据:
wsusutil.exe export packagename.cab logfile.log
然后将packagename.cab
和WsusContent
文件夹中的所有内容传输到断开连接的WSUS服务器,并在其中导入元数据:
wsusutil.exe import packagename.cab logfile.log
等待WSUSvalidation更新文件,然后照常使用(批准更新等)。
此工作stream程的主要问题是,似乎没有办法在已断开连接的WSUS服务器(您可以看到客户端需要哪些更新)和已连接的WSUS服务器(需要下载更新的位置)之间传输审批。
另请参阅本文 ,其中介绍了WSUS服务器的最新更新; 此更新将删除导出文件大小的2 GB限制,如果您同步大量产品的更新,则可能会超出此限制。 该更新将导出文件格式从CAB更改为gzipped XML,该XML没有2 GB的限制。
由于未指定的安全问题,您无法将其连接到“Internet”,但可以创build防火墙规则, 只允许WSUS服务器仅连接到Microsoft Update服务器,然后显式拒绝any / any规则。 如果你的同事/上司认为有这个反驳的合理理由,我们希望听到。
原则上以下可能工作:定期创build一个WSUS服务器
您可能会有相当大的延迟升级,因为它可能需要一些往复运动,而这个移动WSUS了解哪些更新实际上是需要的,应该下载。
我有一个孤立的networking,并遇到相同的问题。 现在我们的WSUS(Server2008R2 STD)不会导出\导入.cab文件,因为它大于2GB。 有没有清洁地雷…我需要提供9000多个更新到一个分类,隔离的networking…我使用VMwarePlayer和创build一个虚拟的Server2008R2 WSUS给它足够的虚拟驱动器空间150 + GB然后几天后虚拟WSUS服务器收集更新我把VMwarePlayer和机器通过牺牲500GB的USB便携式硬盘驱动器在networking上。 我将虚拟服务器join域,使其成为上游WSUS。 然后,我将实际的WSUS更改为下游服务器。 在他们同步\ update \ download(一天左右)后,我closures并删除虚拟WSUS,然后将真正的WSUS更改回上游服务器。 在WSUS池中的所有工作站上运行gpupdate / force并开始更新。 这是一个季度过程,所以我们首先对这些孤立的系统进行非常大的更新,然后每季度更新可以以同样的方式完成(如果需要的话)或清理WSUS文件,然后回到执行wsusutil.exe导出\导入.cab文件小于2GB。
O完全明白你来自哪里,我也有类似的情况。 我们有一个独立的补丁testing工具来testing更新,并在部署之前批准它们。
所以这是情况:
我们的计划:
WSUSutil
)