Wsus: laptops langere tijd buiten domein

Niet Bekend met wsus, maar kunnen je clients niet de MS servers gebruiken als fallback?
Anders kunnen de laptops niet automatisch naar huis VPNen om zodoende de interne wsus te benaderen?

Ah mss is dit iets voor jou, https://social.technet.mi...users?forum=winserverwsus
Of soortgelijke topics, beetje summiere topicstart imo.

[ Voor 39% gewijzigd door SpamLame op 14-08-2017 15:43 ]

Wat @SpamLame aangeeft lijkt mij de mooiste oplossing. Ik zou mijn wsus server niet naar buiten open zetten en gedoe met een VPN ook niet, users gaan daar niet op zitten wachten.

De optie: enable update fallback to Microsoft Update is denk ik een mooie oplossing.
https://technet.microsoft...255&MSPPError=-2147217396

Enigste nadeel is dat je geen controle hebt over de updates die binnen komen.

EDIT: ik zie bij mij alleen deze optie niet terug op 2008r2

[ Voor 6% gewijzigd door HKLM_ op 14-08-2017 15:58 ]

Vaak is er juist een WSUS-omgeving om ervoor te zorgen dat updates eerst intern geverifieerd worden voor ze uitgerold worden om ervoor te zorgen dat bedrijfskritische software correct blijft draaien. Je wil dan dus niet bijvoorbeeld hebben dat je via WSUS een bepaalde IE-update tegenhoudt in verband met compatibiliteit met een stukje belangrijke business software, dat een computer dan een tijdje AWOL gaat en toch zelf besluit die update binnen te halen van Microsoft waarna de user niet meer kan werken...

Bij ons wordt alleen WSUS gebruikt in ieder geval. Als mensen buiten de kantoren willen werken moeten ze sowieso de VPN aanslingeren en hebben ze dus weer contact met de WSUS, EPO, Snow en andere update-, licensing- en inventarisatiesystemen.

Het probleem is dat we ook steeds meer "offline" kunnen werken.
O365 en mail bv heb je vaak al geen VPN meer voor nodig. Maar is MFA voldoende.

Wij zien ook steeds meer gebruikers die wel werken maar eigenlijk geen VPN nodig hebben om hun bedrijfstaken te doen.
Hiervoor zijn wij bezig om een een Cloud DP met SUP te gaan installeren.
De clients kijken dan eerst of ze bij hun MP kunnen komen op het domein. Om te kijken of er updates e.d zijn.
Als dit niet het geval is, vallen ze terug op het cloud DP. Waar je geen VPN voor nodig hebt.

Communicatie gaat over PKI en SSL en dezelfde Updates die we goedkeuren on-prem staan op het cloudDP. zodat gebruikers ook alleen de goedgekeurde updates krijgen.

@Mx. Alba Gaat dat over VPN dan niet vaak fout aangezien een user niet gaat wachten tot zijn updates klaar zijn met het verbreken van de VPN ?

arthurkaaij schreef op maandag 14 augustus 2017 @ 16:04:
Naar buiten open zetten blijkt inderdaad geen goede optie. Rechten technisch is het niet toegestaan en uit beveiliging oogpunt wordt dit ook afgeraden.

Wat is er mis met het toegang geven tot een intern gehoste website? Dat is immers wat WSUS eigenlijk voor de clients is...

HKLM_ schreef op maandag 14 augustus 2017 @ 16:12:
@Mx. Alba Gaat dat over VPN dan niet vaak fout aangezien een user niet gaat wachten tot zijn updates klaar zijn met het verbreken van de VPN ?

Gewoon WSUS gebruiken om de client te vertellen welke updates hij moet gaan installeren. Laat de client die dan maar rechtstreeks bij MS downloaden.

[ Voor 34% gewijzigd door Question Mark op 14-08-2017 16:13 ]

@Question Mark Yes dat kan maar dat lijkt me ook weer niet wenselijk voor je clients die al op kantoor zijn. Kan je volgens mij aardig je internet verbinding mee dicht trekken als het veel systemen zijn.

HKLM_ schreef op maandag 14 augustus 2017 @ 16:12:
@Mx. Alba Gaat dat over VPN dan niet vaak fout aangezien een user niet gaat wachten tot zijn updates klaar zijn met het verbreken van de VPN ?

Kan gebeuren natuurlijk, maar dan gaat hij bij de volgende sessie vrolijk verder. Hoe het allemaal precies in elkaar steekt weet ik niet, WSUS en andere zulke systemen worden centraal beheerd vanuit onze datacentra en wij hebben daar op lokaal niveau nauwelijks mee te maken.

HKLM_ schreef op maandag 14 augustus 2017 @ 16:14:
@Question Mark Yes dat kan maar dat lijkt me ook weer niet wenselijk voor je clients die al op kantoor zijn. Kan je volgens mij aardig je internet verbinding mee dicht trekken als het veel systemen zijn.

Gewoon meerdere WSUS servers gebruiken, en onderscheid gaan maken tussen interne en externe systemen.

Daarnaast maakt WSUS gebruik van BITS technology voor het downloaden van updates. Mocht de VPN gestopt worden, dan gaat de client wel verder met downloaden wanneer deze weer beschikbaar is.

Overigens zou ik voor dit soort laptops zeker het gebruik van Direct Access gaan overwegen.