Aprovações de vários níveis do WSUS com servidores upstream (USS) e downstream (DSS)

Navegue suas respostas
1

Atualmente, estou projetando um novo ambiente do WSUS, no qual estamos procurando aprovações de vários níveis.

Queremos ter um WSUS de nível superior em que a equipe de segurança aprove as atualizações que serão sincronizadas com os servidores WSUS de downstream de cada equipe (Infraestrutura, Desenvolvimento, etc) para aprovar / recusar seu próprio subconjunto.

O problema é que no modo autônomo, o servidor downstream sincroniza todos os patches do upstream, independentemente da aprovação. No modo de réplica, perderíamos a funcionalidade para dar a cada equipe a capacidade de recusar quaisquer atualizações que achassem ter um efeito adverso.

O que eu estou procurando é algo intermediário. Alguém tem uma configuração como essa ou sabe como ela pode ser alcançada?

    
por Joe Spirit 05.01.2017 / 14:08

1 resposta

0

Existem duas opções principais, cada uma com uma maneira "mais fácil" e "mais difícil" de atingir a meta, dependendo de seus requisitos e ambiente de rede.

  1. Os servidores downstream podem ver todas as atualizações disponíveis, mas os clientes não podem instalá-las até que o upstream seja aprovado.

Essa opção depende do servidor upstream (USS) que está sendo configurado para não baixar o conteúdo até que as atualizações sejam aprovadas. O servidor downstream (DSS) sincroniza a partir do USS normalmente e recebe metadados sobre as atualizações disponíveis. Isso permite que os clientes verifiquem e determinem se as atualizações são aplicáveis. Os administradores do DSS podem ver as atualizações necessárias e aprovar as atualizações antes ou depois da aprovação das atualizações no USS. No entanto, até que o USS aprove as atualizações, o conteúdo não estará disponível e os clientes não poderão instalá-lo.

Uma alternativa a essa abordagem é tratar isso como um cenário de entreperto e exportar periodicamente o metadado e o conteúdo binário da instância pai do WSUS e importá-lo para uma instância autônoma para o destino final. As atualizações são importadas sem aprovações, portanto, a filial pode fazer determinações finais.

  1. Absolutamente nenhum conteúdo de atualizações não aprovadas que flui para o servidor downstream.

A melhor abordagem para isso é ter um servidor independente para os clientes de recebimento de dados. No servidor WSUS principal, as atualizações são avaliadas e os KBs para aprovação são anotados. O servidor do WSUS da filial pode importar KBs diretamente do catálogo do Windows Update pelo número KB.

Uma alternativa difícil de implementar para essa abordagem é sincronizar o USS com o WU e obter todos os metadados para categorias / classificações. Depois de identificar as atualizações desejadas, aprove-as e verifique se todo o conteúdo foi baixado. Use a API do WSUS para excluir atualizações não aprovadas. Exporte as pastas DB e WSUSContent e importe-as para um USS que não seja sincronizado a partir do WU. Há muitas partes móveis nessa solução e não é tentada com leveza. Fizemos isso aqui como parte de uma solução comercial e demoramos um pouco (e várias pessoas) para acertar.

    
por 23.01.2017 / 22:24

Tags

O MMC do Backup do Windows Server está falhando psexec - O nome da rede especificado não está mais disponível