none
Necesito descargar parches desde Microsoft para unos clientes externos y para otros del WSUS en el mismo Servidor. RRS feed

  • Pregunta

  • Buenas tardes,

    Tengo un Servidor de WSUS que esta configurado para guardar los parches localmente. Tengo escritorios de VDI y Desktops de usuarios que son actualizados por este WSUS.

    Lo que me estan solicitando y no se como configurarlo seria que usando este mismo WSUS, haga que las Desktops que hoy estan afuera trabajando como Home Office solamente consulten al WSUS por la lista de parches y luego bajen los mismos desde Microsoft.

    Hasta donde se esto se administra en la configuracion del Servidor de WSUS, existe alguna registry o group policy local que pueda configurar para hacer esto?

    Necesito hacer esto usando el mismo WSUS sin modificar la configuracion del lado del Server, lo que si puedo es hacer cambios del lado de los clientes, las Desktops que estan afuera.

    Yo ya publique el WSUS usando un certificado Puerto 8531 y me conecto correctamente, lo que me falta es la parte de que baje desde Microsoft consultando los parches primero en el WSUS.

    Espero sus comentarios y ayuda.

    Muchas gracias.

    Saludos, Roque.

    jueves, 2 de abril de 2020 19:38

Todas las respuestas

  • Hola "Catanese Roque",

    Crea una GPO y linkeala al grupo VPN con el valor: Computer Configuration-->Administrative Templates-->Windows Component-->Windows Updates-->Specify intranet Microsoft update services location-->Disable

    Configura imagen adjunta.

    ----------------------------------------------------------------------------------------------

    Saludos.


    [Ignacio Barrios] MPN-MCT: 2010, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center, MCSA-MCSE: Windows Server 2016 & Azure Administrator

    viernes, 3 de abril de 2020 6:33
  • Gracias por la respuesta pero eso no me sirve porque todos los clientes internos, por ejemplo las Desktops VDI que son mas de 300, me van a bajar los parches tambien de Internet.

    Por eso habia especificado que deberia solo afectar a los ciientes externos y no es posible modificar esto a nivel del WSUS.

    No se puede a nivel de registry en el cliente o alguna group policy local?

    Espero sus comentarios.

    Gracias y Saludos,

    Roque.

    viernes, 3 de abril de 2020 12:36
  • Comprendo...
    El valor en la registry es HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
    No olvides que para que una GPO se actualice debe localizar al DNS vía conexión de red, por lo cual quizas cada conexión VPN no resuelva o encuentre al DC PDC, como quizas si, todo depende de como está la red.
    Puedes intenter con estos valores haber si tienes suerte:

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    NT\CurrentVersion\Winlogon]
    "GroupPolicyMinTransferRate"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows
    NT\CurrentVersion\Winlogon]
    "GroupPolicyMinTransferRate"=dword:00000000

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
    "MaxPacketSize"=dword:00000001

    1 - Habilita refresh interval for computer
    2 - Habilita Enable Group policy slow link detection a 0
    3 - Habilita Always wait for the network at computer startup and logon
    4 - Enable Do Not detect slow network connections
    5 - Enable security policy processing

    Sino, no te queda otra que modificar el valor vía script o en cliente.

    ----------------------------------------------------------------------------------

    Saludos.

    [Ignacio Barrios] MPN-MCT: 2010, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center, MCSA-MCSE: Windows Server 2016 & Azure Administrator

    sábado, 4 de abril de 2020 16:28