Запустите WSUS на изолированном сервере
У нас есть среда тестирования / интеграции, в которой работает Windows HyperV с серверными виртуальными машинами.
Я бы хотел управлять патчами в буровой установке (хосты HyperV и внутренние виртуальные машины, которые находятся в их собственном домене), но мы не можем подключить бурильную установку к Интернету (или даже к нашей корпоративной сети) из-за проблем безопасности.
Можно ли загрузить информацию о патче для WSUS (или какую-либо подходящую технологию / приложение) из браузера, а затем загрузить ее в буровую установку вручную? Если нет, есть ли у вас рекомендации по управлению исправлениями на сервере, который отключен (и ни при каких обстоятельствах не может быть подключен к Интернету или корпоративной сети)?
6 ответов
Ваши варианты пока:
- время от времени подключайтесь к серверу WSUS в соответствии с предложением Хагена
- настроить другой сервер WSUS, настроить его на загрузку всего и скопировать содержимое обновления и базу данных на ваш изолированный сервер WSUS по требованию
- использовать совсем другой инструмент обновления - есть проект OSS "Обновление WSUS офлайн" (который не имеет ничего общего с самим WSUS, кроме имени) и ряд коммерческих продуктов для управления исправлениями (включая Microsoft SCCM), способных предоставить "автономный" магазин обновлений.
Обратите внимание, что сервер WSUS, даже если он подключен к сети, может быть настроен так, чтобы представлять практически незначительную угрозу безопасности для вашего домена. Он может быть помещен в DMZ, клиенты не обязательно должны находиться в том же домене, что и сервер WSUS, и сигнатуры обновлений проверяются клиентами на основе открытых ключей Microsoft, поэтому не должно быть возможности подделывать обновления, пока соответствующие частные ключи не подменяются (что может создать проблему независимо от того, используете ли вы WSUS для установки обновлений или нет). Таким образом, вы можете настроить подключенный сервер WSUS и настроить фильтры своей тестовой сети, чтобы разрешить только соединения HTTP/HTTPS с этим сервером без ущерба для безопасности.
Глава " Настройка отключенной сети для получения обновлений" в документации WSUS описывает официально поддерживаемый способ использования WSUS в отключенной среде. Вам нужна вторая установка WSUS, которая может загружать обновления с серверов Microsoft.
Сначала вам нужно синхронизировать метаданные на подключенном сервере WSUS; затем вы должны каким-то образом загрузить файлы обновлений (например, утвердив обновления для некоторой фиктивной группы). После этого вам необходимо экспортировать метаданные с подключенного сервера WSUS:
wsusutil.exe export packagename.cab logfile.log
Тогда перевод packagename.cab и все в WsusContent папку на отключенный сервер WSUS и импортируйте туда метаданные:
wsusutil.exe import packagename.cab logfile.log
Подождите, пока WSUS проверит файлы обновления, затем работайте с ним как обычно (одобрите обновления и т. Д.).
Основная проблема с этим рабочим процессом заключается в том, что, похоже, нет способа передать одобрения между отключенным сервером WSUS (где вы можете увидеть, какие обновления требуются клиентам) и подключенным сервером WSUS (где вам нужно загрузить обновления).
Также см. Эту статью, которая описывает недавнее обновление для сервера WSUS; Это обновление устраняет ограничение в 2 ГБ на размер файла экспорта, которое может быть превышено, если вы синхронизируете обновления для большого количества продуктов. Обновление изменяет формат файла экспорта с CAB на сжатый XML, который не имеет ограничения в 2 ГБ.
Вы не можете подключить его к "Интернету" из-за неуказанных проблем безопасности, но, безусловно, вы можете создать правило брандмауэра, позволяющее только серверу WSUS подключаться только к серверам Microsoft Update, после чего следует явное отклонение любого / любого правила. Если ваши коллеги / начальство считают, что против этого есть разумные аргументы, мы хотели бы услышать это.
О, полностью понимаю, откуда ты, и у меня похожая ситуация. У нас есть отдельная установка для тестирования исправлений, чтобы протестировать обновления и утвердить их перед развертыванием в производстве.
Итак, это ситуация:
- Живая среда не имеет доступа к интернету
- Тестовый стенд (среда ESXi, в которой размещены доменные среды на vms с 1 сервером sccm) не имеет доступа в Интернет.
- Сервер WSUS подключен напрямую к интернету.
Наш план:
- Загрузите и утвердите обновления на WSUS.
- Экспорт загруженных утвержденных обновлений / метаданных (возможно, с использованием
WSUSutil) - Скопируйте экспортированные метаданные и WSUSContent на съемный жесткий диск.
- Импортируйте данные в тестовую среду SCCM.
- Развертывание в среде для тестирования.
- Одобрение после тестирования для внедрения в производство.
У меня есть изолированная сеть и сталкиваюсь с теми же проблемами. Теперь, когда наш WSUS (Server2008R2 STD) не будет экспортировать \ импортировать CAB-файл, потому что он больше 2 ГБ. Нет необходимости в очистке... Мне нужно предоставить более 9 000 обновлений для секретной изолированной сети... Я использую VMwarePlayer и создаю виртуальный WSUS-сервер Server2008R2, предоставляя ему достаточно места на виртуальном диске 150+ ГБ, а затем через пару дней после Виртуальный сервер WSUS, собирающий обновления Я поместил VMwarePlayer и компьютер в сеть через портативный USB-накопитель емкостью 500 ГБ. Я присоединяю виртуальный сервер к домену и делаю его восходящим WSUS. Затем я изменяю фактический WSUS на нижестоящий сервер. После того, как они синхронизируют \ обновляют \ загружают (день или около того), я выключаю и удаляю виртуальный WSUS, затем заменяю реальный WSUS обратно на вышестоящий сервер. запустите gpupdate / force на всех рабочих станциях в пуле WSUS, и они начнут обновление. Это ежеквартальный процесс, поэтому мы сначала делаем ОЧЕНЬ БОЛЬШОЕ обновление для этих изолированных систем, затем ежеквартальные обновления можно выполнить таким же образом (если вы хотите) или очистите файлы WSUS и просто вернитесь к выполнению wsusutil.exe. экспорт \ импорт с.cab файлами размером менее 2 ГБ.
В принципе может работать следующее: создавать сервер WSUS и регулярно
- подключите его к локальной сети с доступом к Интернету (или внутреннему восходящему WSUS) и синхронизируйте его.
- вниз и отключите его и отнесите на охранную территорию
- подключите его там и дайте клиентам обновить и сообщить
У вас может быть значительная задержка в обновлении, потому что это может занять несколько движений назад и вперед, пока этот мобильный WSUS узнает, какие обновления действительно необходимы и должны быть загружены.