目前,我们为所有计算机(包括桌面计算机和便携式计算机)configuration了单一的内部WSUS服务器。 WSUS服务器仅在内部可用(VPN或LAN)。 我们有一些远程用户几乎从不在现场,半频繁的VPN进入networking。 而不是让他们通过VPN下载Windows更新,我想完成以下操作:
从我读过的,这可能是有一个辅助的WSUS服务器,告诉客户端从微软下载和利用DNS掩码sorting告诉客户端哪些WSUS服务器联系可能是可能的; 有没有办法做到这一点与单个WSUS服务器? 所有远程客户端都是Windows 7 SP1,WSUS是Server 2008 R2 SP1上的v3。 利用Microsoft RRAS进行VPN服务(IKEv2 / SSTP / L2TP / PPTP)。
我不这样认为,但是一个解决方法是在您的networking上实现一个拦截代理服务器。 这意味着您可以将WSUS服务器configuration为指示客户端从Microsoft下载,但仍然在本地cachingnetworking上计算机的内容。 (作为一个额外的好处,更新将只下载,如果他们真的需要,所以你可以lessselect性的你批准。)
其中的一个变种是在台式机上configurationWinHTTP以使用代理服务器,但这意味着现场的笔记本电脑仍然会从Microsoft下载。 原则上,您可以编写一些软件来检测机器的当前位置,并根据需要重新configurationWinHTTP。
最后,我们创build了第二台WSUS服务器作为主服务器的副本,但有一点不同,报告给它的任何客户端直接从Microsoft下载更新(而不是从本地caching下载)。 我们很可能只是为所有远程客户端使用GPO,而不是使用任何DNS解决scheme来报告这个新的WSUS服务器; 99%的时间在办公室外面,所以从长远来看,这只是一个简单的办法。
其实我不认为这是WSUS作品的主意。 由于您可以批准/拒绝WSUS中的更新,所以异地用户不会受到您的策略的影响。
也许MS Intune是这样的解决scheme:从微软下载,但你仍然在控制。