Atualmente, temos nosso único servidor WSUS interno configurado para todos os computadores, desktops e laptops. O servidor WSUS está disponível apenas internamente (VPN ou LAN). Temos alguns usuários remotos que quase nunca estão no local e semifreqüentemente na rede VPN. Em vez de fazer com que eles baixem as atualizações do Windows pela VPN, eu gostaria de realizar o seguinte:
Pelo que li, provavelmente é possível ter um servidor WSUS secundário que informe aos clientes para
Acabamos criando um segundo servidor WSUS como uma réplica do servidor principal com a única diferença de que os clientes que fazem relatórios baixam suas atualizações diretamente da Microsoft (em vez de fazer o cache dos downloads localmente). Nós provavelmente usaremos um GPO para todos os nossos clientes remotos para reportar a este novo servidor WSUS em vez de usar qualquer solução DNS; 99% do tempo que eles estão fora do escritório, por isso é mais simples a longo prazo.
Eu não acredito, mas uma solução é implementar um servidor proxy interceptado em sua rede. Isso significa que você pode configurar o servidor WSUS para instruir os clientes a fazer o download da Microsoft, mas ainda armazenar em cache o conteúdo localmente para as máquinas na sua rede. (Como um bônus adicional, as atualizações só serão baixadas se forem realmente necessárias, então você pode ser menos seletivo sobre o que você aprova.)
Uma variação disso é configurar o WinHTTP em suas máquinas desktop para usar um servidor proxy, embora isso signifique que os laptops no local ainda farão o download da Microsoft. Em princípio, você poderia escrever algum software que detecta a localização atual da máquina e reconfigura o WinHTTP conforme necessário.
Na verdade, não acho que essa seja a ideia do WSUS funcionar. Como você pode aprovar / rejeitar atualizações no WSUS, os usuários externos não seriam afetados por sua política.
Talvez o MS Intune seja a solução para isso: faça o download da Microsoft, mas você ainda está no controle.