none
Nuovo WSUS Windows 2019 - Workgroup o Dominio? RRS feed

  • Domanda

  • Buonasera a tutti,

    un consiglio per l'installazione del nuovo WSUS.

    Ho un dominio AD Windows 2012 con Server e Pc, mi chiedevo se installare il nuovo WSUS in workgroup o attestarlo in dominio.

    La scelta deriva dal fatto che il nuovo Server sarà posizionato nelle rete DMZ, aperta ovviamente (con le dovute regole FW) a tutta la struttura AD.

    Grazie il consiglio

    venerdì 6 marzo 2020 15:35

Risposte

Tutte le risposte

  • Una DMZ per definizione è aperta direttamente verso internet (ad esempio come nel caso di un webserver), quindi la tua descrizione in realtà mi confonde un po'....perché dovrebbe essere rischioso avere un server WSUS "esposto" alla rete di dominio? Come è strutturata questa rete?

    In ogni caso non vedo differenze nell'inserire un WSUS in dominio o meno, se non per una questione puramente gestionale.

    venerdì 6 marzo 2020 16:36
    Moderatore
  • Buongiorno Fabrizio e grazie per la risposta.

    Tutto corretto, la nostra rete DMZ è l'unica aperta verso internet; i pc e server che hanno bisogno di accedere fuori, hanno regole FW puntuali verso i dns in DMZ per la navigazione web.

    Ho posto la domanda del WSUS in workgroup o domain in quanto il vecchio antenato era in dominio ma in un altra rete; parlando di DMZ volevo "integrare" il nuovo server in dominio AD, l'unico rischio è che essendo esposto in DMZ abbiamo timore di minacce esterne, ma sicuramente limiteremo il rischio con regole FW puntuali verso Pc e Server. Purtroppo non abbiamo altri server Windows in DMZ da poter emulare, quindi è il primo e stiamo decidendo se WRKGRP o Dominio, tutto qui. Visto che il rischio è minimo, probabilmente opteremo, per una questione gestionale, per il dominio AD.

    lunedì 9 marzo 2020 10:45
  • OK, adesso credo di aver capito.
    Secondo me non è consigliato esporre il WSUS interno ai client esterni alla rete oppure se questo è proprio necessario è meglio implementare un nuovo WSUS dedicato in replica e con l'archiviazione dei file di aggiornamento disattivata (per limitare il traffico in upload).
    In ogni caso, come dicevo, è indifferente avere il WSUS in dominio o meno ma bisogna comunque proteggerlo, ad esempio modificando le porte standard o implementando SSL: https://docs.microsoft.com/it-it/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#25-secure-wsus-with-the-secure-sockets-layer-protocol

    • Contrassegnato come risposta SysAdmin_IT venerdì 13 marzo 2020 14:54
    lunedì 9 marzo 2020 14:52
    Moderatore
  • non so se questo risponde alla tua domanda ma la strada più prudenziale è quella di non mettere in dominio macchine che si trovano in DMZ

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    • Contrassegnato come risposta SysAdmin_IT venerdì 13 marzo 2020 14:54
    lunedì 9 marzo 2020 15:34
    Moderatore
  • Buonasera a tutti,

    grazie e tutti per il contributo, ora mi è più chiaro.

    venerdì 13 marzo 2020 14:54