Execute o WSUS em um servidor isolado

Suas opções até agora:

• on-line o servidor WSUS ocasionalmente conforme proposto por Hagen
• configure outro servidor do WSUS, configure-o para baixar tudo e copie o conteúdo da atualização e o banco de dados para o servidor WSUS isolado sob demanda
• use uma ferramenta de atualização diferente - existe o projeto "Atualização do WSUS offline" do OSS (que não tem nada a com o próprio WSUS, exceto pelo nome) e vários produtos de gerenciamento de patches comerciais (incluindo o SCCM da Microsoft), capazes de fornecer um repositório de atualizações "off-line".

Observe que um servidor WSUS, mesmo quando online, pode ser configurado para apresentar um risco de segurança basicamente insignificante para seu domínio. Ele pode ser colocado na DMZ, os clientes não precisam estar no mesmo domínio que o servidor WSUS e as assinaturas de atualização são verificadas pelos clientes com as chaves públicas da Microsoft, Por isso, deve ser impossível forjar atualizações, desde que as chaves privadas correspondentes não sejam subvertidas (o que representaria um problema, não importando se você está usando o WSUS para instalar atualizações ou não). Então, você poderia configurar um servidor WSUS alinhado e configurar os filtros da rede de teste para permitir conexões HTTP / HTTPS apenas para esse servidor sem comprometer a segurança.

O capítulo Configurar uma rede desconectada para receber atualizações na documentação do WSUS descreve a maneira oficialmente suportada de usar o WSUS em um ambiente desconectado. Você precisa ter uma segunda instalação do WSUS que possa baixar atualizações de servidores da Microsoft.

Primeiro, você precisa sincronizar os metadados no servidor WSUS conectado; então você deve fazer o download dos arquivos de atualização de alguma forma (por exemplo, aprovando atualizações para algum grupo fictício). Depois de fazer isso, você precisa exportar metadados do servidor WSUS conectado:

 wsusutil.exe export packagename.cab logfile.log

Em seguida, transfira packagename.cab e tudo na pasta WsusContent para o servidor WSUS desconectado e importe os metadados para lá:

 wsusutil.exe import packagename.cab logfile.log

Aguarde enquanto o WSUS valida os arquivos de atualização e, em seguida, trabalhe como de costume (aprove atualizações, etc.).

O principal problema com este fluxo de trabalho é que parece não haver nenhuma maneira de transferir aprovações entre o servidor WSUS desconectado (onde você pode ver quais atualizações são necessárias pelos clientes) e o servidor WSUS conectado (onde você precisa baixar atualizações) .

Veja também este artigo , que descreve uma atualização recente para o servidor WSUS; essa atualização elimina a limitação de 2 GB no tamanho do arquivo de exportação, que pode ser excedido se você sincronizar atualizações para vários produtos. A atualização altera o formato do arquivo de exportação do CAB para o XML compactado, que não possui uma limitação de 2 GB.

Você não pode conectá-lo à "internet" devido a problemas de segurança não especificados, mas com certeza pode criar uma regra de firewall permitindo que somente o servidor do WSUS conecte somente à Microsoft Atualize os servidores, seguidos por uma regra explícita de negação de qualquer regra. Se seus colegas / superiores acreditarem que há um argumento razoável contra isso, gostaríamos de ouvi-lo.

Em princípio, o seguinte pode funcionar: Crie um servidor WSUS e regularmente

1. conecte-o a uma LAN com acesso à Internet (ou ao WSUS interno) e sincronize-o.
2. para baixo e desconecte-o e leve-o para a lan de segurança
3. conecte-o e permita que os clientes atualizem e denunciem

Você pode ter um atraso considerável nos upgrades porque pode levar alguns movimentos de ida e volta até que o WSUS móvel saiba quais atualizações são realmente necessárias e devem ser baixadas.

Eu tenho uma rede isolada e me deparo com os mesmos problemas. Agora que nosso WSUS (Server2008R2 STD) não exportará \ importará o arquivo .cab porque é maior que 2 GB. Não há nenhuma limpeza minha ... Eu preciso fornecer mais de 9.000 atualizações para uma rede secreta e isolada ... Eu uso o VMwarePlayer e criei um WSUS Server2008R2 virtual para dar a ele bastante espaço de disco virtual de 150 GB depois de alguns dias servidor virtual do WSUS coletando as atualizações Eu coloquei o VMwarePlayer e a máquina na rede via disco rígido portátil de 500GB USB sacrificial. Eu entro no servidor virtual para o domínio e faço dele o WSUS upstream. Então eu mudo o WSUS real para ser o servidor downstream. Depois que eles sincronizarem \ update \ download (um ou dois dias), eu encerro e excluo o WSUS virtual, depois mudo o WSUS real de volta para o servidor Upstream. execute gpupdate / force em todas as estações de trabalho no pool do WSUS e elas começam a atualização. Este é um processo trimestral, então fazemos uma atualização MUITO GRANDE inicialmente para esses sistemas isolados, então as atualizações trimestrais podem ser feitas da mesma forma (se você quiser) ou limpar os arquivos WSUS e voltar a fazer o wsusutil.exe exportar \ importar com arquivos .cab menores que 2 GB.

Entenda totalmente de onde você vem e eu tenho uma situação parecida. Temos um equipamento de teste de contato isolado para testar as atualizações e aprová-las antes de implantá-las na produção.

Então, essa é a situação:

1. O ambiente ao vivo não tem acesso à internet
2. A plataforma de teste (ambiente ESXi que hospeda um ambiente de domínio em vms com 1 servidor sccm) não tem acesso à Internet.
3. Servidor do WSUS conectado diretamente à internet.

Nosso plano:

1. Fazer o download e aprovar atualizações no WSUS.
2. Exportar atualizações / metadados aprovados baixados (possivelmente usando WSUSutil )
3. Copie os metadados exportados e o WSUSContent para o disco rígido removível.
4. Importar dados para ambientes SCCM do servidor de teste.
5. Implantar no ambiente para testes.
6. Aprovação após o teste para implementar na produção.